[warwas]

Situatsioon järgmine: Win10 läpakas, tehti Shut Down, uuesti käivitamisel hakkas Bitlocker võtit nõudma. Võti on loomulikult kuhugi "kindlasse kohta" ära pandud.
Ehk siis nüüd on suure tõenäosusega vahva "andmekonserv". Õnneks on olemas u nädala tagune backup, seega väga suur häving ei ole.

Küll aga tahaks ikkagi teada, mis sellise olukorra üldse tekitas. Paar korda olen enne ka taolist olukorda kohanud aga siis on lihtsalt aidanud uuesti võtme näitamisest ja elu lill.

Tean, et igasugused firmware ja BIOS'i uuendused võivad taolise olukorra tekitada. Seekord võib need aga kindlalt välistada. Ebaõnnestunud shut down? Ketta enda viga?
Vägisi jääb tunne, et mingil x põhjusel Windows tõstis lihtsalt lipu püsti, et "õu, miskit kahtlast toimus, paneme igaks juhuks lukku". Kas see "kahtlane juhum" üldse arvestatava tähtsusega oli, on muidugi iseasi. TPM, kus olulisem osa krüptost, on ju masinas alles.

Selle teema tegemise point oli selles, et uurida, kas keegi on ka kunagi sarnase juhtumi otsa komistanud ja äkki on läbi mingi ime õnnestunud ketas, arvuti ja Windows omavahel ilma võtit sisestamata ära lepitada.

[arm2004]

Win10 on see kõige kahtlasem lüli....

[SOS]

Mõnikord satub bitlocker paanikasse kui mälupulk või telefon arvutiga ühendatud on restardi hetkel. Kahtlustab miskit infopumpamise rünnet. Siis on aidanud kõigi juhtmete&pulkade ära võtmine ja uuesti käimapanek.

[Betamax]

Jah, on olnud korra T460s ja Windows 10 Proga selline asi. Peaaegu igal käivitumisel parool ei kõlvanud ja hakkas Recovery võtit küsima. Mõne nädala kannatasin ära, siis hakkasin lahendust otsima. Kõige tõenäolisem põhjus olevat see, et TPM mingil põhjusel tunneb end "ohustatuna". Selle lahendamiseks leidsin netist juhendi, mida enam ei leia, aga pmst tuli Windowsi all BitLockeri teenus peatada ja seejärel TPM cache vms tühjendada käsurealt. Seejärel restart, BitLocker jälle tööle ja nüüd on rahu majas olnud.

[warwas]

Selged pildid. Saan esmaspäeval masinat lähemalt uurida.

Seda igal restardil võtme küsimist olen kunagi ravinud sellega, et lihtsalt suspendisin korraks Bitlockeri. See loksutas tookord midagi igatahes paika. Järgmistel käivitamistel enam kobinat ei olnud.

[DigeBeni]

... kui see on firma arvuti ja firma it on tööd vähegi korrektselt teinud, siis on recovery key olemas AD-s või vähemalt kuhugi muul viisil talletatud. Bitlocker ei rakendu mingi it-voodooga, vaid on reeglina policyga määratud:
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings
https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/trusted-platform-module-services-group-policy-settings
... minu praktikas kõige tüüpilisem häda, et valesti pandud PIN-ide arv saab lihtsalt täis, süsteemseid faile/seadeid on muudetud või BIOS-is laadimise järjekorda, võõras USB seade on laadimisel külge ühendatud jne.

... kui tegemist aga erakasutuses oleva arvutiga ja kasutaja on sisse logitud MS kontoga, siis võiks võti olla ka konto alt leitav:
https://support.microsoft.com/en-us/help/4026181/windows-find-my-bitlocker-recovery-key

Lihtsamal juhul piisab ka mõneks ajaks kapile seisma panekust, siis peaks lockout aeguma ja saab jälle õige võtmega sisse.

Üldiselt piisab tõepoolest suspend/resume Bitlockeri jaoks, kui sisse saad, kuid igaks juhuks tuleks ka TPM üle vaadata ja vajadusel lockout resetida, muidu on pärast restarti taas lukus:
https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/manage-tpm-lockout

[warwas]

Voodoo kahtlustamine pole kordagi laual olnud. Bitlockeri aktiveerisid seal masinas minu oma väikesed käekesed. See, et varuvõti kaotsi oli läinud, oli pigem udupäisuse süü. See, et mitmekümne pealisest "karjast" pipardama just see ainsana kadunud võtmega masin hakkas, on pigem Murphy keiss.

Keda lõpplahendus huvitab, siis seekord oli tegu sellise toreda ise paraneva probleemiga - pärast seda, kui masin oli mõnda aega laadija küljes rippunud, said TPM ja Windows jälle ilusti sõpradeks (ehk siis see, mida DigeBeni pakkus).
Hetkel tundub masin igatahes stabiilne olevat. Eks näis, kui jälle pipardama hakkab, siis resetin vast kogu selle TPM'i osa kindluse mõttes ära. Varuvõti on nüüd vähemalt olemas.

Vaatamata sellele, et juhtunu selgitus oli stiilis "Ise läks, eile küll töötas, mina ei tea midagi", siis ma kahtlustan olukorda, kus löödi peaaegu tühja akuga masinal lihtsalt kaas kinni ja aku jõudis enne uuesti laadija külge jõudmist täiesti tühjaks saada. Kuna Windows ei suutnud ennast viisakalt kinni minna, läks ka TPM paanikasse ja kindluse mõttes pani ennast mingiks perioodiks lukku. Ei saa välistada ka SOS pakutud mälupulga varianti.

Mis ma siit aga endale kaasa võtan on kõige muu kõrval meeldetuletus, et hoolsam tuleb olla ja et see konkreetne protsess tahab natuke automatiseerimist, et inimliku eksimuse tõenäosus miinimumi viia (AD integratsioon saab ka äkki kunagi juurutatud, hetkel tuleb aga natuke teisiti hakkama saada).

[DigeBeni]

... AD integratsioon omab vaid siis mõtet, kui tegemist suure ettevõttega, mis kasutab selle küljes palju erinevaid MS teenuseid. Kõige lihtsam, mida oleks mõistlik teha, seo lokaalne konto MS kontoga, see aitab hoida su varuvõtme kenast tallel ja boonusena ka muid seadeid ja asju, mida soovid. Lisaboonusena teeb see sinu jaoks erinevate arvutite vahel ristlemise mugavamaks ja kui arvutit vahetad, kolib kogu su kola kah kohe uude arvutisse, kui sama MS kontoga sisse logida. MS võib meeldida või mitte, kuid kui juba MS lahendusi kasutada, siis võiks kogu ökosüsteemi täiel määral ja kogu raha eest enda jaoks tööle panna ...