Menu

Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

Na komputerze/laptopie HP z TPM 2.0, preinstalowany Windows 10 uruchamia się bez żadnych haseł, ale wg Funkcjonariusza dysk jest zaszyfrowany Bitlockerem

Nowe modele komputerów HP (co najmniej od 2019), sprzedawane z preinstalowanym systemem Windows 10, mają też domyślnie włączone szyfrowanie dysku twardego w trybie bezhasłowym (klucz do dysku znajduje się w module TPM 2.0). Więc Windows uruchamia się z dysku wewnętrznego bez pytania o hasło, ale już przy próbie uruchomienia innego systemu z dysku zewnętrznego, partycje Windows są zaszyfrowane.

Rozwiązanie: zdobądź klucz odzyskiwania Bitlocker i wgraj go na dysk z Funkcjonariuszem (najlepiej od razu jako klucz przypisany do konkretnego dysku):

  1. Windows 10 Pro - jest na to 5 sposobów (konto Microsoft, wydruk, zapis na lokalny dysk inny niż C:, konto Azure Active Directory, lub lokalne Active Directory), szczegóły znajdziesz w tym artykule.

  2. Windows 10 Home używa nieco uproszczonej i okrojonej funkcjonalnie wersji Bitlockera (oficjalnie nie nazywając go Bitlockerem, a po prostu szyfrowaniem dysku). Wersja ta synchronizuje klucze odzyskiwania tylko z kontem Microsoft (znajdziesz klucz pod tym adresem) - mechanizm ten jednak wymaga do poprawnego działania, aby pierwsze logowanie na nowo uruchomionym komputerze było wykonane właśnie na konto Microsoft. Jeśli konfigurując nowy komputer pominiesz konfigurację Wi-fi i wymusisz utworzenie konta lokalnego Windows, synchronizacja klucza odzyskiwania nie będzie działać i nie da się jej naprawić bez ponownego zaszyfrowania dysku (patrz niżej).

Szczegółowe warunki występowania problemu

  • komputer HP z modułem TPM 2.0 i obsługą trybu Modern Standby - np. seria tanich laptopów HP 14s z procesorami AMD Ryzen
  • preinstalowany system Windows 10 Home
  • wymuszone przy instalacji szyfrowanie dysku w trybie bezhasłowym (tj. komputer będzie się uruchamiał bez podawania hasła, gdyż klucz znajduje się w module TPM)
  • podczas pierwszego logowania, pominięto konfigurację Wi-fi, po czym zrezygnowano z logowania na konto Microsoft i utworzono konto "offline" (tj. zwykłego użytkownika Windows)
  • mogą występować jeszcze inne warunki, których nie zdołaliśmy zidentyfikować

Po zaistnieniu powyższych warunków, szyfrowanie dysku nadal działa, tylko klucz odzyskiwania nie jest zapisywany nigdzie poza samym komputerem. Awaria, programowe wyczyszczenie lub fizyczna wymiana modułu TPM na takim komputerze są równoznaczne z nieodwracalną utratą danych.

Po zalogowaniu po raz pierwszy na konto lokalne Windows:

  • dysk zaczyna się szyfrować w tle, ale w ustawieniach pokazywany jest status szyfrowania "suspended" (zawieszone)
  • nie jest możliwa synchronizacja klucza odzyskiwania z kontem Microsoft
  • nie ma innych możliwości uzyskania tego klucza (drukowanie i zapis do pliku są w wersji Home zablokowane)

Rozwiązanie 1:

  • rozszyfruj dysk, klikając "Turn off" (Wyłącz) w powyższym oknie dialogowym (w miejscu strzałki powinieneś znaleźć ostrzeżenie czerwoną czcionką, że szyfrowanie dysku jest zawieszone)
  • skonwertuj konto lokalne na nowe/istniejące konto Microsoft
  • uruchom komputer ponownie
  • zaloguj się i sprawdź, czy na komputerze jest preinstalowany program antywirusowy McAfee - jeśli tak, odinstaluj go (możesz też spróbować go chwilowo wyłączyć albo obniżyć w nim poziom ochrony, dodać wyjątki itp., ale nie testowaliśmy takich wariantów)
  • uruchom komputer ponownie
  • zaloguj się i z poziomu menu Start otwórz moduł System Panelu Sterowania (jeśli to zrobisz przez sam Panel Sterowania, otworzy Ci się okno Ustawienia/Informacje z Windows 10 - jeśli już do niego trafiłeś, możesz użyć linka "Zaawansowane ustawienia systemu" na prawej belce) - docelowo chodzi o to, abyś trafił do okna dialogowego, w którym można zmienić nie tylko nazwę komputera, ale też domenę lub grupę roboczą (w Windows Home oczywiście próba wyboru domeny spowoduje błąd)
  • zmień nazwę komputera i grupę roboczą (na cokolwiek) i uruchom komputer ponownie
  • po ponownym zalogowaniu (na konto Microsoft wcześniej przekształcone z lokalnego) poczekaj chwilę - Windows powinien po ok. 5-6 minutach od zalogowania zacząć szyfrować dysk
  • zaloguj się w przeglądarce na to samo konto Microsoft - pod tym adresem znajdziesz klucz odzyskiwania (najprawdopodobniej będzie dodany jeszcze pod starą nazwą komputera)

Pamiętaj, aby po każdym restarcie i zalogowaniu, trzymać komputer włączony przez co najmniej 5 minut przed kolejnym restartem.

Szyfrowanie dysku nie jest robione fabrycznie (dysk świeżo po instalacji nie jest jeszcze zaszyfrowany), ale jest wymuszane przez konfigurację wgraną przez producenta - więc gdy rozszyfrujesz dysk i rozwiążesz problem, szyfrowanie samo rozpocznie się na nowo. Jeśli chcesz zrezygnować z szyfrowania, sformatuj dysk i zainstaluj (całkiem od zera, nie jako upgrade) zwykłą wersję Windows 10 (bez dodatków od HP).

Rozwiązanie 2 (nie testowaliśmy):

Spróbuj użyć narzędzia Surface BitLocker Protector Check - pozwala ono uzyskać klucz odzyskiwania i naprawić problemy z szyfrowaniem.

Zostało jednak stworzone dla urządzeń Surface Book i współpracuje tylko z modułami TPM 2.0 od niektórych producentów. Nie ma więc pewności, czy zadziała na Twoim komputerze - warto jednak sprawdzić.

Rozwiązanie 3 (nie testowaliśmy):

Możesz wykonać upgrade wersji systemu z Home do Pro, kupując klucz przez Windows Store. Po wykonaniu tego upgrade, będziesz mieć dostępne wszystkie opcje Bitlockera, w tym wydruk klucza odzyskiwania, czy możliwość zapisania go do pliku.

Wadą jest konieczność zakupu właśnie przez Windows Store, gdzie mocno przepłacisz. Natomiast próba wpisania innego klucza produktu dla Windows w wersji Pro nie pomoże - komputery z tej serii mają zaszytą aktywację Windows w ustawieniach UEFI i nie da się jej zmienić bez całkowitej reinstalacji systemu (a tym samym utraty dotychczasowych danych).