2 votes

simon avatar

Invoquer l'interface utilisateur de déverrouillage BitLocker à partir d'un script

Demandé el 5 de Juillet, 2021
Quand la question a-t-elle été
266 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans un script, j'ai besoin d'un moyen pour qu'un utilisateur déverrouille un volume chiffré avec BitLocker.

Actuellement, l'utilisateur tape le mot de passe dans la fenêtre de la console PowerShell ($key = Read-Host 'Mot de passe BitLocker pour $($path)' -AsSecureString) et ensuite le volume BitLocker est déverrouillé avec la commande Unlock-Bitlocker.

Ce que je voudrais, c'est une invite GUI standard 'plus naturelle' pour déverrouiller le volume, comme celle-ci :

Invite GUI de déverrouillage BitLocker

Y a-t-il un moyen d'invoquer cette GUI à partir d'un script .cmd/.ps1 ? Je pense à quelque chose comme :

  • démarrer un exécutable, c'est-à-dire some-bitlocker-gui.exe /unlock C:\SomeSecurePath /askuserforpassword
  • cmdlet PowerShell
  • appeler une fonction dans une DLL

Mais n'importe quelle méthode pour afficher cette GUI native conviendra.

Remarque importante : cela devrait fonctionner non seulement pour les lettres de lecteur (comme D:), mais pour les volumes montés en tant que dossiers NTFS également (comme C:\SomeSecurePath, comme on le voit dans la capture d'écran) :

volume monté en tant que dossier NTFS

Demandé el 5 de Juillet, 2021 par simon

Réponses

Trop de publicités?

1voto

simon avatar
simon Points 398

La commande requise est

bdeunlock \\?\Volume{123e4567-e89b-12d3-a456-426614174000}\

{123e4567-e89b-12d3-a456-426614174000} est l'identifiant de volume du volume BitLocker requis.

L'identifiant de volume peut être obtenu avec

$(Get-BitLockerVolume)[1].MountPoint

commande PowerShell, où 1 est un numéro de volume (commençant par zéro).

CRÉDIT : @swbbl, comme suggéré dans ce commentaire.

Répondu el 7 de Novembre, 2021 par simon (398 Points )

-1voto

postanote avatar
postanote Points 3762

Non; ce dialogue modal est programmé dans le code de gestion de BitLocker.

En dehors d'écrire le vôtre, vous pouvez écrire votre code et l'envoyer à Show-Command pour une interface graphique, pour qu'un utilisateur puisse entrer des informations.

Un dossier/un partage réseau, n'est pas un lecteur, quel que soit le mappage du lecteur sur la machine d'un utilisateur. C'est juste un pointeur.

Bitlocker chiffre le disque entier ou rien du tout. BitLocker signifie FDE (chiffrement complet du disque) pour une raison. L'accès à un lecteur BL est tout ou rien. BitLocker, par conception, est pour la protection contre les attaques hors ligne. Une fois que le lecteur BitLocker est activé, tout le monde qui peut le voir y a accès. Vous ne pouvez pas BitLocker un lecteur (mappé) pour un utilisateur.

Vous pouvez vous connecter à un lecteur en tant que iSCI au lieu de SMB si c'est pris en charge par votre serveur de stockage. Bien sûr, l'utilisation de BitLocker est native en utilisant les lecteurs iSCI.

Alternativement, envisagez de créer un fichier de lecteur de disque virtuel avec BitLocker et de le stocker sur un lecteur réseau SMB. Le chiffrement de dossier partagé, nécessite d'autres outils.

Répondu el 6 de Juillet, 2021 par postanote (3762 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X