分区开启 BitLocker 后还能正常用第三方备份工具备份和还原吗？

可以

基于扇区的备份直接就可以用
但是由于开启 BitLocker 后扇区数据是加密状态.无法识别具体是空扇区还是有数据的
所以每次备份还原都是全盘读写一边

基于文件的备份方式需要先使用 Recovery Key 解锁 BitLocker
解锁后就是正常的分区, BitLocker 对文件系统来说是透明的.
也就不会影响基于文件的备份方式

@clorischan 搭车问一下:这种情况下,还需要备份某一个分区才能还原系统吧?就是开机的时候要求解锁已加密驱动器的那个程序,这个程序不能加密吧?否则怎么解锁?

搭车问一下：BitLocker 安全还是 U 盘移动硬盘里附带的厂商的加密软件安全？

可以是可以 就是很蛋疼
给予扇区备份会导致文件很大 都是加密数据也不太好压缩

或者你可以把分区解锁挂载之后再去备份 winpe 里可以用 recovery password 挂载
ghost 没试过 不清楚 dg 应该也可以备份 但具体什么形式就不知道了

这种情况最好还是用那种给予文件时间戳和其他特征增量备份的东西

查了下我正在用的 Macrium Reflect, 和 @clorischan 说的一样，它在 BitLocker 分区已解锁的情况下，是可以正常只备份有数据部分的明文数据的
https://knowledgebase.macrium.com/display/KNOW72/BitLocker+Restore+Outcomes

@jekyll 没有限定必须使用哪款那就上 veracrypt,开源,跨平台

@7RTDKSAK veracrypt 跟 vmware workstation pro (player 应该一样因为底层是一个东西)冲突
如果你虚拟机用到了物理盘就会有问题
我之前碰到这诡异毛病自己找了半天问题 后来发现是 veracrypt 的问题
单独验证过 最新版 veracrypt 和 vmware workstation pro
重启之后启动过 veracrypt 的话 再从物理盘启动虚拟机就会报错 说权限问题之类的
vm 论坛说过了 没人关心貌似 至今也没有更好的解决办法 只有重启之后不要开 veracrypt

以下是关键 log

2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: "\\.\PhysicalDrive4" : write s=1048576 n=4096 ne=1, fai=0
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: v[0]=18EF8A98000:4096
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: Retry on write "\\.\PhysicalDrive4" : Access is denied.
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: system : err=50002 errCode=5 freeSpace=18446744073709551615

@424778940
没理解?
物理机启动 vc,再启动虚拟机,会报错?
物理机不启动 vc,直接启动虚拟机,就成功启动?
是这意思吗?
我物理机上 vc 和 vmware ws 都是装机必备,没有碰到这情况?

@7RTDKSAK 谢谢，我了解一下。

@7RTDKSAK ESP 分区就是干这事的，获取 TPM 中的 key ，解锁 OS 分区后启动。

印象中 Ghost 是文件和块都支持的，好像是检测到文件系统是 NTFS FAT32 等就会用 Ghost 自己实现的代码去读取，不会用操作系统的接口(因为要支持 DOS)，如果是不支持的文件系统则是直接读取原始数据。不确定 Ghost 会不会把加密过的 NTFS 文件系统当成损坏了然后拒绝工作，建议选择更加现代的工具。

@clorischan 未加密系统驱动器的话,bcdboot 可以重建 ESP
加密了也能吗?

@jekyll 我认为 BitLocker 更安全:

1. 数据安全 (safety): BitLocker 久经考验, 而一些厂商的加密软件有 bug 的概率更高.
2. 厂商加密软件放 u 盘里面可能被篡改, 窃取密码, 相信不少人没有去验证.
3. 一些厂商实现的是硬件层加密, 同样也有信息泄露风险, BitLocker 以前有这个风险, 现在已经不用 BitLocker 硬件加密了.

但 BitLocker 必须在可信计算机上解锁, 不然解锁后分分钟被偷走密码 (默认设置下)

@7RTDKSAK 必须解锁才能重建 bcd 引导, 因为它需要从 Windows 目录拷贝文件. 不过如果你 bcd/bootmgr 相关文件有效的情况下, 或许可以试试直接 bcdedit 增加引导项.

另外, bootmgfw 等文件受 secure boot 验证保护, 比不支持 secure boot 的第三方安全.

除非自签 veracrypt, 但操作就很麻烦了

@7RTDKSAK OS 分区未解锁情况下不可以
ESP 分区内就是 Windows Boot Manager
用 bcdboot 重建 ESP 需要将 OS 分区的 GUID 写入到 Windows Boot Manager
未解锁情况下, 无法获取 OS 分区的 GUID

@Osk
@clorischan
了解,谢谢

@Osk 好的，谢谢。
我这里就是讨论普通人在普通场景下的加密，防普通上班族使用场景下的泄密，像“必须在可信计算机上解锁, 不然解锁后分分钟被偷走密码”这种场景，感觉比较专业了，真这么有针对性，也认栽了（多问一句，这种场景有更好的方案吗？

@jekyll yubikey 智能卡

@jekyll 那种情况基本无解

@424778940 #4 在 PE 里先解锁再备份，这样的备份档是不是就没有加密了？下次还原的时候也要先解锁分区吧？

@7zlid yubikey 对我来说就像一个黑箱，完全不知道它怎么运作的，有种无法掌控的感觉，怕它坏了束手无策

@424778940 想起来我昨天也遇到了类似问题，vmware 弹窗说 vmdk 操作失败什么什么，不是一定出现，但是每次大量写磁盘一定会出现，我用的是 bitlocker ，然后我现在把 bitlocker 全部关掉了，我再试试有没有问题。

@docx bitlocker 是针对文件系统加密的 文件本身不是加密的 所以你解锁之后本质上是挂载了一个解密之后的逻辑卷 所以备份出来的文件跟没加密的是一样的

@7RTDKSAK
我相信你是直到 vmware workstation 是可以新建一个虚拟机不适用虚拟磁盘而是直接使用物理磁盘的
我说的问题是 是你用了 veracrypt 之后 再去启动一个使用了物理磁盘的虚拟机 就会出错 如果你启动的是使用正常虚拟磁盘的虚拟机就没事
这个需求听起来小众 但我觉得也还好 我平时有个 usb ssd 装 linux 在公司用 回来在家里从 vm 里启动

@rev1si0n 你那个跟我说的应该没什么关系

@7RTDKSAK bitlocker 加密分很多种形式
最基本的根基是数字密码 就是那个超级长的数字 不管什么形式加密都会生成
然后就是如果你电脑开启了 tpm, 那么密钥是储存在 tpm 芯片里面的, 开机输入的密码其实是 tpm 的 pin, 引导程序本身不加密
不支持 tpm 要该策略才能用 bitlocker, 具体加密行为没有去研究
但不管何种情况 用数字密码都是可以离线挂载加密分区的

@7RTDKSAK esp 本身不需要"重建" bcdboot 确实可以自动生成 但 esp 里也没什么东西说白了
微软的系统 esp 里有个 bootmgr.efi 是引导程序本体 然后是 bcd 不带后缀是数据库 还有就是一堆杂七杂八的语言文件和其他 efi 工具比如内存扫描 剩下的也许有可能有证书用来验证签名
不用 bcdboot 也可以自己手动搞定 去任何正常的同款系统里的 windows/boot 下找 efi 文件夹丢进去 然后改一下 bcd 就行了
写引导本身不依赖于必须读取系统分区内容 只是如果你写错了没法用而已

@clorischan 并不正确 分区的 uuid 和分区本身内容无关 他是 gpt 分区表里给分区的一种属性 只要分区表可以读取就能拿到

@424778940
听起来像是 vc 独占了所有物理分区?(大概是这意思)
然后 vmware 就不能读写了?

@424778940 #24 好的，谢谢解答。那么这样对备份档的保护工作也需要做好。

另外请教：如果未开启 BitLocker 时对分区备份，再开启 BitLocker ，进入 PE 对该分区解锁并还原备份，是否会影响分区状态？甚至数据丢失？
个人理解是不会有影响，因为 BitLocker 的密钥、分区启用状态是存在 TPM 芯片里，不受备份还原影响。不确定是否理解正确，数据宝贵也不敢乱尝试。

@docx 就像我说的 解锁 bitlocker 本质上是挂载了逻辑卷 所以你如果备份是按照文件备份的 那没有什么问题 因为按照文件来备份是要跟文件系统交互 也就是你挂载的解密后的逻辑卷的文件系统 只要是正常挂载 就还属于在 bitlocker 范畴内操作 所以也没什么问题
但如果你的工具是基于扇区备份的 那肯定不行 因为扇区备份跳过了文件系统 也并不关心数据到底是什么东西 是加密的逻辑卷快 还是都是 0 还是没加密的 他都不在乎也不知道区别 所以盲目还原肯定有问题
基于扇区备份的都是 raw image 只适用于数据恢复时候做镜像 或者盘很小 或者某些特殊系统 /机器对磁盘或者文件系统有非常严(qi)格(pa)且特殊的要求

密钥是存在 tpm 里的 但其他信息不是 其他信息都是在硬盘上的 启用状态本身没有什么意义 因为不管你这个 flag 怎么样 数据本身加密或者没有加密不会改变 除非你用 bitlocker 永久加密或者解密 他也是要先加密 /解密全部数据然后再去写这个 flag 的

当然 我上面说的也不是特别准确的 bitlocker 工作流程 实际上这个东西内部还是很复杂的 但作为用户没有必要了解这么细致
实际上 bitlocker 还有分一些什么 master volume key 还有其他一大堆 key 剩下就是什么 protector 用什么方式加密的 master key 然后这个东西要存在哪 还有就那种 pause bitlocker 的时候发生了什么之类的 这类我觉得普通用户不要去纠结太多

总结下来就是 你用 bitlocker 正常加密解密挂载 不管是 tpm 还是密钥还是用数字密码 不管是从图形界面 还是 manage-bde 还是 powershell 相关命令 这些都是在[正常] 使用的范畴内 只要你是正常使用 那用基于文件的备份软件就不存在任何问题 跟你是不是在 winpe 下或者挂在另一个电脑上也没有关系

@424778940 好的，非常感谢您码这么多字指导，帮助很大，我打算正常解密之后再用 ghost 操作，应该可行，改天实操