SP1 stał się powszechnie dostępny i na pewno jeszcze w tym tygodniu niejeden pasjonat skusi się na jego instalację na swoim sprzęcie. A parę chwil później – może i w całej sieci.
Wujek Dobra Rada, odkąd istnieją ServicePacki (jestem w stanie sięgnąć pamięcią do SP5 do NT 3.51 i wydanego prawie równocześnie SP1 do NT 4.0) mówił "zanim zainstalujesz SP, zrób backup". Ale wszyscy wiedzą jak to bywa z dobrymi radami. Jazda bez trzymanki jest dużo bardziej pasjonująca. Poza tym każdy zna informatyczne przysłowie o prawdziwych twardzielach.
Nie będę namawiał do backupu. Albo ktoś sam wie i zrobi, albo i tak nie da się przekonać. Mam za to inną użyteczną poradę:
nie zapomnij o BitLockerze
Jeżeli masz zaszyfrowany dyski i używasz TPM, to przy instalacji SP1, po restarcie system poprosi o klucz. Zawsze tak było i pewnie zawsze będzie. Rzecz w tym, że w informatycznym podnieceniu słusznie wywołanym przez nowy ServicePack, jakoś wylatuje to z głowy. System wystartuje z niewinnym pytaniem o klucz i nagle okaże się, że wbrew wszelkim zaleceniom, jedyną metodą uzyskania klucza jest skorzystanie z działającego systemu. Oczywiście to oznacza, że klucz był źle przechowywany. Ale znam wiele osób, które właśnie tak robią, uważając, że niezależną od systemu kopię zrobią sobie "później". Instalacja SP1 jest ostatnim momentem na to "później", bo potem zostaje już tylko format...
A tak naprawdę, najlepiej po prostu czasowo przechować klucz w jawnej postaci i na parę chwil przestać korzystać z TPMa. Dla laików, którym BitLocker nie je z ręki: trzeba włączyć konsolkę zarządzającą i skorzystać z opcji "Suspend Protection".
Wszystko pozostaje zaszyfrowane tak jak było, ale dysk nie jest chroniony i po instalacji ServicePacka będzie w stanie zadziałać.
Dla twardszych polecam "manage-bde.exe %systemdrive% -protectors –get" i zapamiętać wyświetlony klucz numeryczny. Wystarczy do uruchomienia systemu gdy TPM (słusznie zresztą!) stwierdzi, że coś mu się nadmiernie w środowisku zmieniło.
Autor: Grzegorz Tworek [MVP]
PS Oczywiście instalacja SP1 nie jest jedynym powodem, żeby mądrze przechowywać klucze do BitLockera. Ale jak to z takimi radami... póki się ktoś bardzo boleśnie nie sparzy, to będzie kombinował.
A nie wystarczy\lepiej przed instalacja zrobić 'Suspend protection' ?
No dlatego napisałem "skorzystać z opcji Suspend Protection", nawet zamieszczając obrazek :)
OK - poranne czytanie na szybko nie służy
Specjalnie backupu przy SP nigdy nie robiłem, traktuję SP (niesłusznie?) jako większą poprawkę.
Jakby się wysypało, to mogę użyć tego co robię okresowo.
Słusznie traktujesz chyba... ;)
Ale i tak wszędzie jest napisane, że należy zrobić.
Czy moglbys dokladniej wyjasnic na czym polega "Suspend protection" i rozwinac ta mysl
"Wszystko pozostaje zaszyfrowane tak jak było, ale dysk nie jest chroniony"
W największym skrócie, chodzi o to, że w normalnej pracy BitLockera, TPM generuje klucz, którym odszyfrowany zostaje klucz służący do odszyfrowania sektorów.
Suspend powoduje, że ten klucz zostaje zapisany na dysku w niemal jawnej postaci. W efekcie, dysk pozostaje zaszyfrowany (dzięki czemu suspend jest szybki) ale o skutecznej ochronie trudno tu mówić. Po instalacji SP, przywracamy ochronę, przez operację polegającą na usunięciu jawnego klucza i ponownym właczeniu TPM.
Generalnie, to nawet działa ;)