Pokud máte šifrovanou jednotku bitlockerem doporučuji si zazálohovat obnovovací klíč (recovery key) k šifrovanému disku. Jde o 48 místný číselný kód. Pokud používáte online účet, tak heslo najdete v MS účtu na adrese account.microsoft.com/devices/recoverykey, Active Directory Domain Services, nebo . Případně lze heslo zobrazit pomocí příkazu v příkazovém řádku s oprávněním správce:
//zobrazení obnovovacího klíče manage-bde -protectors C: -get //obnovení klíče pro lokální PC manage-bde -forcerecovery <šifrovaná oddíl/jednotka> //obnovení klíče pro vzdálený počítač manage-bde -ComputerName <vzdálený počítač> -forcerecovery <šifrovaná jednotka>
Pokud systém zapomene recovery klíč a po každém spuštění je potřeba jej zadat tak:
1. způsob, ve Windows otevřít bitlocker a pozastavit jej. Po chvilce opět povolit. 2. způsob, po spuštění zadat opravu spouštění spustit příkazový řádek zjistit stav a vypsat heslo k disku manage-bde -status c: manage-bde -protectors -get <jednotka:> manage-bde -unlock C: -rp <recoverykey> potom manage-bde -protectors -disable C: manage-bde -protectors -enable C: pokud dojde k chybě TPM čipu, tak možná bude nutné jej vymazat. Já jsem jej vymazal přes BIOS, ale měl by snad fungovat tento postup manage-bde -protectors c: -add -tpm manage-bde -protectors -delete c: -type Password manage-bde -protectors c: -add -tpm
Výměna klíče po sdělení uživateli:
# 1. Identifikace ID starého Recovery Protectoru
$BitLocker = Get-BitLockerVolume -MountPoint "C:"
$OldProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }
# 2. Vytvoření nového Recovery Password (náhodně generováno systémem)
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector
# 3. Zálohování nového klíče do Active Directory (pokud máte nastavené Group Policy)
$NewProtector = Get-BitLockerVolume -MountPoint "C:" | Select-Object -ExpandProperty KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' -and $_.KeyProtectorId -ne $OldProtector.KeyProtectorId }
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $NewProtector.KeyProtectorId
# 4. Odstranění starého (prozrazeného) klíče
Remove-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $OldProtector.KeyProtectorId
Automatická rotace klíče v AD:
Pokud používáte modernější správu (např. Microsoft Intune nebo novější verze Windows 10/11 v kombinaci s Azure AD), existuje funkce Client-side recovery password rotation. Ta dokáže po každém použití Recovery klíče automaticky vygenerovat nový a ten starý zneplatnit.
V klasickém on-premise AD se to většinou řeší právě výše uvedeným PowerShell skriptem nasazeným jako Task v rámci AD.
Umístění TPM čipu
TPM čip může být součástí základní desky, nebo je přímo součástí procesoru. U Intelu se jmenuje PTT a u AMD fTPM. Pokud chceme bitlocker používat, musíme TPM čip v biosu povolit.
Zazálohovat obnovovací klíč můžete pomocí tohoto návodu:
https://support.microsoft.com/en-us/windows/back-up-your-bitlocker-recovery-key-e63607b4-77fb-4ad3-8022-d6dc428fbd0d
Vyhledání klíče pro obnovení nástroje bitlocker:
https://support.microsoft.com/cs-cz/windows/vyhled%C3%A1n%C3%AD-kl%C3%AD%C4%8De-pro-obnoven%C3%AD-n%C3%A1stroje-bitlocker-v-syst%C3%A9mu-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6
Základní příkazy pro bitlocker:
https://www.dell.com/support/kbdoc/en-us/000125409/how-to-enable-or-disable-bitlocker-with-tpm-in-windows
Připojení poškozeného disku/oddílu s bitlockerem:
How to Use BitLocker Repair Tool to Recover Encrypted Drive in Windows
https://www.tenforums.com/tutorials/97390-use-bitlocker-repair-tool-recover-encrypted-drive-windows.html
BitLocker Drive Encryption – Unlock a Locked Data or Removable Drive
https://www.sevenforums.com/tutorials/210071-bitlocker-drive-encryption-unlock-locked-data-removable-drive.html
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj647767(v=ws.11)?redirectedfrom=MSDN
