it-swarm.com.de

BitLocker fragt nach der Installation von Ubuntu nach dem Schutzcode

Ich habe Ubuntu soeben nebeneinander auf einer Windows 10-Partition installiert, die auf einem neuen Laptop ausgeliefert wurde.

Das heißt, der mit Windows 10 gelieferte Laptop und Ubuntu wurden zusammen mit der Windows-Partition mithilfe eines Ubuntu Desktop-Installations-ISO über ein Flash-Laufwerk installiert.

Jedes Mal, wenn ich den Windows-Start-Manager starte, möchte BitLocker, dass ich den langen BitLocker-Wiederherstellungsschlüssel eingebe. Ein paar Fragen -

  1. Warum ist BitLocker tatsächlich von dem von Ubuntu eingerichteten neuen Bootloader betroffen? Ein naiver Gedanke wäre, dass der BitLocker-Entschlüsselungsschlüssel auf dem Motherboard-TPM gespeichert ist und von einer neuen Bootloader-Installation nicht betroffen ist. Dies ist wahrscheinlich der Fall, da Windows sonst seine eigenen Dateien nicht mehr lesen kann. Warum benötigt BitLocker nun überhaupt den Wiederherstellungsschlüssel?
  2. Bei der Installation von Ubuntu nebeneinander wurde etwas über den unübersichtlichen Boot-Schutz gesagt, aber es ist nicht klar, ob dies mit dem TPM oder einem separaten Sicherheitsmechanismus zusammenhängt.
  3. Das Ubuntu-Installationsprogramm hat sogar nach einer Passphrase gefragt, mit der der sichere Start wiederhergestellt werden kann, aber ich wurde nach dem Booten mit weder Ubuntu noch mit den Windows-Bootloadern nach der Installation nirgendwo dazu aufgefordert.
  4. Wie mache ich BitLocker wieder vertrauenswürdig? In Windows 10 wird nur die Option zum Deaktivieren der Festplattenverschlüsselung angezeigt. Ich bin jedoch nicht sicher, warum dies nicht einfach so weitergehen kann.
  5. Das Ein- und Ausschalten der Verschlüsselung (in Windows) scheint ein Overkill zu sein, und ich habe keine Ahnung, ob meine Ubuntu-Partition dabei verschlüsselt wird.

Unter Windows kann ich nach Eingabe des Wiederherstellungsschlüssels feststellen, dass die Geräteverschlüsselung aktiviert ist. Mein Verständnis ist also, dass meine Windows-Partition immer noch ihre eigenen Dateien entschlüsselt, wohingegen meine Ubuntu-Partition die TPM nicht auffordert, ihre Dateien zu verschlüsseln, wenn Schreiben Sie sie und entschlüsseln Sie sie nicht, wenn Sie sie lesen.

7
matt

In diesem Fall betrachtet Windows GRUB nicht als sichere Komponente. Wenn Sie also von GRUB aus zu Windows booten, geht Windows davon aus, dass die Bootsequenz möglicherweise gefährdet ist, und erzwingt eine erneute Schlüsseleingabe.

Die einzige Möglichkeit, dies zu beheben, besteht darin, GRUB nicht insgesamt zu verwenden. Du kannst entweder

  • wählen Sie die Startreihenfolge direkt über Ihr BIOS-Menü (die von mir verwendete Lösung, ich muss während des Startvorgangs nur F12 eingeben und das BIOS gibt die Wahl zwischen den Startszenarien).
  • oder verwenden Sie den Windows-Bootloader und fügen Sie die Linux-Optionen hinzu ( . Hier erfahren Sie, wie Sie dies erreichen .
1
Mic

Mit viel Hilfe der freundlichen Leute in den Kommentaren konnte ich das Problem elegant überwinden. Dies war die elegante Lösung von hier :

Um BitLocker wieder vertrauenswürdig zu machen, habe ich BitLocker einfach deaktiviert und anschließend wieder aktiviert:

C:\Windows\system32\manage-bde.exe" -protectors -enable c:

C:\Windows\system32\manage-bde.exe" -protectors -disable c:

Ich gehe davon aus, dass Windows jetzt wie bisher BitLocker und Festplattenverschlüsselung über das TPM verwendet und Ubuntu einfach nicht.

Es ist möglich, einige Ubuntu-Sachen zu installieren, die es funktionieren lassen , wie BitLocker (also vermutlich auch das Teilen von Partitionen zwischen Windows und Ubuntu), aber ich denke, dass Ubuntu das derzeit nicht verwendet TPM-Hardware, so würde es den gesamten Verschlüsselungsschlüssel auf der Festplatte speichern, was den Zweck der Verschlüsselung zunichte macht, also denke ich, es lohnt sich nicht.

Daher war sich BitLocker der Boot-Manipulation bewusst, die berechtigterweise dazu führte, dass auf ein Trust-Regaining-Ereignis gewartet wurde, obwohl die TPM-Integration intakt blieb. Durch Eingabe des Schutzschlüssels und anschließender Verwendung der oben genannten Befehle in Windows wurde der Vertrauensstatus wiederhergestellt und der normale Betrieb wiederhergestellt.

0
matt