Startfiler korrupta efter felaktig avstängning, går inte att reparera utan Bitlocker nyckel?

Finns nog företag som kan hjälpa om det är riktigt viktiga filer men det blir nog dyrt, hoppas du har bacup?

Skickades från m.sweclockers.com

Tur det då, i absolut värsta fall blir det en sur helg helt enkelt.

Skickades från m.sweclockers.com

Bitlocker krypterar ju hela disken, Windows är ju inlåst i krypteringen till dess det är dekrypterat.

Om ni använder AD server så kanske nyckeln finns hos IT. Låter inte helt omöjligt men jag har ingen koll på vad som är inkluderat i AD servern eller ej.

Skickades från m.sweclockers.com

hur har du startat innan problemen?

har du angett lösenord till Bitlocker?

USB-sticka?

TPM?

Det verkar svårt att glömma nyckeln, iaf om man anger den dagligen...

IT-avdelningen ska kunna ta fram en Bitlocker recovery key från AD, ja.

Som alltid med systemdisk-strul - alltid en diskimage på hela disken innan man gör något alls på disken - använd clonezilla, norton ghost eller på sticka uppstartad linux och kopiera ut med ddrescue mfl. och en stor extern USB-disk för att lagra imagen.

bitlocker kan vara speciell då det har visat sig att man ofta använder SSD-diskens krypteringsmotor (av prestandaskäl) vilket kan göra att diskimagen kan vara ihopgift med den fysiska SSD som sitter i din dator och en gömd nyckel i själva SSD (man hittade en väg att hacka bitlocker den vägen på vissa SSD:er) det betyder att det kanske inte är någon ide att göra attack på diskimage som är på en extern disk utan det måste göras på den SSD som är i din burk.

Det betyder också att en diskimage på SSD kan vara värdelös den dagen SSD bestämmer sig att gå sönder helt. med andra ord ofta utförda backupper är A och O om man har krypterade systemdiskar på sina datorer, går systemdisken sönder så är det borta... vilket också betyder att din backupp kanske måste vara heltäckande - dvs få med _alla_ filer på disken inklusive systemprogram, installerade program - alla tempfiler - ja rubbet, och det brukar inte vara helt lätt i windows med låsta filer mm.

diskimagen är då att betrakta som backup för tillfällen då du med olika räddningsförsök förstört alla förutsättningar till räddning på din befintliga SSD - genom att lägga tillbaka imagen är tillbaka på ruta ett igen för nya försök igen med andra metoder och program.

---

Är det normalkänslig information så kanske man istället skall överväga en normal systemdisk och för den känsliga informationen liggande krypterad på separat partition eller en krypterad containerfil (veracrypt kan göra så) - veracrypt kan också göra heldiskkryptering och även där (precis som containerfiler och partitioner) kan man göra backup av headrar som sparas på annan plats inklusive att man kan byta passord i efterhand på den som är på volymen och den gamla passordet gäller fortfarande för den backupade headern - dvs. en masterpassord när volymen skapas - göra backup av headern och sedan ändra till en userpassord och när usern glömmer passordet så kan man köra tillbaka den backuppade headern och öppna arkivet med masterpassordet igen.

TS är i ett läge när den normala infrastrukturen i en laptop har skitigt sig

Den egentliga bitlocker-nyckeln behöver inte vara samma som man knappar in i samband med inloggning, och därmed okänd för användaren och är troligen lång harang med maskingenererade slumptecken motsvarande 256 - 512 bitars längd - den kan behövas extraheras fram och för detta behövs hjälp från överliggande AD med recover key, eller kännedom av användarens passord i samband med inloggning för att kunna extraheras ut.

crackprogram som jack the ripper mfl. har massor av script för att extrahera ut de viktiga filerna och sedan göra attack - givetvis går man på användarkonton och dess PIN/passord först då det är i regel den vekaste delen i kedjan. är det TPM så blir det förstås mycket besvärligare och man måste ha aktuella dator fysiskt när man gör attacken. Kan man passordet/PIN redan så kan dessa crackprogram vara till hjälp om andra alternativ inte fungerar.

jo det var PiN jag menade, i företagsmiljö kör man ofta med TPM + PiN

men du menar nog att Bitlocker kör enbart med TPM, och sen loggar du in på Windows-låsskärmen med pin

Bitlocker pin ser ut så här:

om du behöver ange den långa bitlocker-återställningsnyckeln, har du antingen lyckats stänga av TPM i bios, eller angett fel Bitlocker-pin/lösenord flera gånger...

att boot-sektorn skulle vara skadad hade antagligen inte visat bitlockerskärmen..

jovisst, men det förutsätter att man redan låst upp bitlocker... även utan TPM är bitlocker väldigt säker (minimum aes-128, gärna aes-256), lösenord/pin med eller utan usb-sticka

själva användarnamn/lösen är lätt att extrahera i Windows (om man inte är inloggad med onlinekonto, vilket TS verkar vara)...

TS, om det är en företagsdator så är detta egentligen inte ditt problem utan IT-avdelningens problem, dock vet jag med att det kan vara total distaster när de hanterar problemet - disken blir raderad och man får en tom och ny installation utan att de bryr sig så mycket om att försöka hjälpa användaren med att återskapa disken som den var innan haveriet. - med andra ord ta diskimagen först innan man ber om hjälp...

Är man tekniker och har en massa konstiga program för att köra olika produkter så är detta ett jättebekymmer och och det kan vara dagar till veckors jobb att lirka in en massa utdaterade program (för att det inte finns nyare) med kanske inte installationspaketen kvar innan man är tillbaka till samma läge som innan haveriet...

kontrollera i Bios så Trusted Platform Module är aktiverad, om den är så har något fel blivit trasigt

du är säker på att du inte har nån usb-sticka som behövs?

det enda du kan hoppas på är den långa återställningsnyckeln, annars är det kört

Den 'långa nyckeln' är den nyckeln som normalt PIN/passordet extraherar fram eller hämtas på annat sätt - men nu har den infrastrukturen gått paj av någon orsak (varför nu windows skulle ha gått och rotat där över huvud taget när datorn gick och hängde sig - ja om det inte är en jäkla windowsuppdatering förstås igen - dessa uppdateringar har ju dragit med windows MTBF-tid till i princip botten...) och därför behöver man mata in nyckeln i sin helhet och är last resort sas. - normalt är sådana nycklar alltid 'wrappade' till oigenkännlighet av säkerhetsskäl baserad på hash-summor av PIN-nummer, användapassord etc. (det är därför attackvektorn är på dem då det är enklare än att ge sig direkt på den riktiga bitlockernyckeln) - det är alltid nyckelhanteringen man ger sig på, aldrig på den direkta nyckeln för arkivet då det är i princip ogörligt - även om man skulle använda varenda atom i hela jordklotet för meningsfull provning av passord på en 256-512 bits kryptonyckel...

yepp, håller med till 100%

men i detta fallet verkar TS enbart använda TPM för att låsa upp "mega-nyckeln" som i sin tur dekrypterar hdd:n
vad som hänt i detta fallet är en smula mystiskt, bitlocker-booten tål det mesta & är han inne i windows bör inget hända med bootsektorn

@Baxtex: vet inte hur insatt du är i bitlocker, men du känner ju till TPM så helt novis är du nog inte...

kolla bios först så TPM är på

här finns allt du behöver veta, läs hela skiten:

https://docs.microsoft.com/en-us/windows/security/information...

på så sätt kanske du kan klura ut vad som felat

@Baxtex: för att vara tjatig.. TPM är på i Bios??

ahh sorry, hade lite bråttom TPM är på hehe

@Baxtex: där står i artikeln om man ändrar hårdvara, eller ens firmware i hårdvara, kan trigga Bitlocker-återställningsnyckel

det kan ju innebära vad som helst, men du får nog vänta till Måndag & få återställningsnyckeln...