如何识别哪个 bitlocker 保护器处于活动状态？

Question

BitLockerVolume -MountPoint C).KeyProtector 我看到多个 RecoveryPassword 密钥保护器，我怎么知道哪个是活动的？

如果我拉动硬盘并将其插入另一台机器，它会要求我提供其中一个密钥，但我怎么知道它会要求哪个密钥 ID？

编辑：所以这是我关心的问题，我知道可以激活多个键，但是当 Windows 提示时，它会要求输入一个特定的键 ID：

那么我怎么知道它会要求哪个键 ID 并且我可以在这个屏幕上给它任何活动键吗？它要求一个特定的，如果我给它一个不同的它会很酷吗？

Answer 1

TL; 博士

任何RecoveryPassword/Numerical Password 类型保护器都会解锁卷加密密钥，从而解锁卷。在 BitLocker 恢复方案中，BitLocker 将提示添加第一个RecoveryPassword/Numerical Password 类型保护器密钥 ID，并且在下面列出的测试中，未请求 RecoveryPassword/Numerical Password保护器密钥 ID的 48 位密码被接受。

编辑：使用带有两个Numerical Password/RecoveryPassword保护器的外部 USB 驱动器在 Windows 10 Build 1511 上进行测试- 不存在其他保护器（任何类型）。Windows 提示输入密钥 ID，我输入了其他密钥 ID的 48 位数字，Windows 解锁了驱动器。当在恢复期间输入 48 位字符串时，看似聪明的人正在尝试所有活动Numerical Password/RecoveryPassword 保护程序- 不仅仅是针对请求的密钥 ID。YMMV 与其他组合/版本。尝试一下。

manage-bde.exe -protectors -get c:将列出活动保护程序（无论卷上有多少）、显示Numerical PasswordID 和 48 位密码。

可以使用manage-bde.exe和删除保护器Remove-BitLockerKeyProtector。

附加背景

• AES128 对称加密密钥用于加密卷本身。要更改此卷加密密钥，需要重新加密整个卷。
• BitLocker 永远不会更改卷加密密钥（除非 BitLocker 被禁用 [未挂起]，然后重新启用。为了保护卷加密密钥，BitLocker 添加了层来保护它 - 称为保护器（想想卷加密的加密）钥匙）
• 存在各种类型的保护器。任何单个保护者都可以自行解锁卷加密密钥。
• 该Numerical Password保护（根据manage-bde.exe）也被称为RecoveryPassword按Get-BitLockerVolume） -从不同的工具相同的概念只是不同的名词。
• 的Numerical Password/RecoveryPassword是BitLocker恢复过程中使用的48位数字。
• 一个卷上可以激活多个Numerical Password/类型的保护器RecoveryPassword。