¿Cómo evitar que Windows Update suspenda la encriptación de BitLocker?

6

Hoy me sorprendió bastante ver que una máquina con Windows 10 Pro que instalé recientemente con BitLocker (PIN de inicio + TPM con cifrado de disco completo) de repente ya no tenía habilitado BitLocker:

Yalparecer,WindowssemetióconmiconfiguracióndeBitlocker:

Aquíhayunacapturadepantallaquetomédemiconfiguraciónhaceunasemana(quenohecambiadomanualmentedesdeentonces):

AsíqueWindowsdebehaberloscambiadodealgunamanera.

Nohejugadoconelregistroniheinstaladoherramientasquelohagan.NisiquieraheinstaladoningúnsoftwareAVdeterceros,yaquesolovisitositioswebqueconsideraríadeconfianza(comogoogle.com,youtube.com,amazon.com,etc.)ysoloinstalosoftwarequeconsideraríadeconfianza(comoFirefox,Skypeetc)...SospechoqueWindowsUpdateeslafuentedelproblema.Ycomoresultaque otras personas han reportado problemas similares con Windows Update suspendiendo su BitLocker .

¡Esto es absolutamente inaceptable en mi opinión! Como uso un PIN de inicio + TPM, no parece haber una forma obvia de evitar que esto vuelva a suceder.

¿Hay alguna manera de prevenir esto? Realmente no quiero deshabilitar Windows Update ya que no recibiré más actualizaciones de seguridad en ese momento. Y tampoco me gusta la idea de instalar manualmente las actualizaciones una vez por semana y luego verificar si BitLocker está habilitado nuevamente.

    
pregunta Forivin 12.12.2018 - 16:01
fuente

2 respuestas

2

ACTUALIZACIÓN: según los comentarios, esta respuesta no explica completamente el comportamiento.

No soy un experto, pero recientemente encontré algo similar.

Primero, tenga en cuenta que existe una diferencia entre "Suspender" BitLocker y "Desactivar" BitLocker:

BitLockercuadrodediálogoquemuestraladiferenciaentre"Suspender" BitLocker y "Desactivar" BitLocker

Desde sus capturas de pantalla, su BitLocker se suspende, no se apaga.

Según Microsoft :

  

El cmdlet Suspend-BitLocker suspende el cifrado de Bitlocker, lo que permite a los usuarios acceder a datos cifrados en un volumen que utiliza el Cifrado de unidad BitLocker. Este cmdlet hace que la clave de cifrado esté disponible de forma clara.

     

...

     

Mientras está suspendido, BitLocker no valida la integridad del sistema en el inicio. Puede suspender la protección de BitLocker para actualizaciones de firmware o actualizaciones del sistema.

Windows Update tiene un mecanismo donde instala algunas de las actualizaciones ahora, y el resto en el siguiente reinicio. Supongo que esto se logra iniciando en un sistema operativo ligero que existe solo para instalar los nuevos archivos, y luego llama al gestor de arranque de Windows cuando está listo. Parece que Microsoft ha decidido que no quieren agrupar todos los controladores TPM en este instalador ligero, por lo que deshabilitan BitLocker temporalmente.

Un BitLocker suspendido debería volver a la protección completa en el próximo reinicio, por lo que la respuesta parece ser cuando las Actualizaciones de Windows le piden que reinicie, debe hacerlo de inmediato . Sé que es molesto, pero desafortunadamente, así es como funciona Windows.

    
respondido por el Mike Ounsworth 12.12.2018 - 16:49
fuente
0

Para su valor, la forma "estándar" de evitar la sobreescritura de las reglas de políticas de grupo en Windows es ir a la clave de registro asociada, editar sus permisos y eliminar / denegar el acceso de escritura para el usuario del SISTEMA (o todos los usuarios) . Esto es efectivo contra el motor de políticas de grupo utilizado para impulsar cambios de configuración a máquinas unidas a un dominio. Nunca antes había escuchado que Windows Update haya cambiado una regla de política de grupo, así que no estoy seguro de si funcionará allí, pero el bloqueo de escrituras por parte del SISTEMA (o de todos los usuarios) probablemente todavía lo haría si algo lo haría (por otra parte Por otro lado, no hay garantía de que el motor de Windows Update respete las ACL; los procesos de nivel de administrador son libres de ignorarlos si así lo desean).

Las claves de registro relevantes aparecen para que sean

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE (and subkeys)

y tal vez también

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Bitlocker (subkeys specifically)

Los valores en la segunda ubicación hacen referencia a la primera, por lo que la primera puede ser la ubicación autorizada, pero, por lo que puedo decir, no está realmente documentada. De todos modos, negar el acceso de escritura para el SISTEMA en ambas claves y sus subclaves es la mejor opción que se me ocurre para evitar que esto vuelva a suceder (pero no hay garantías). Puede intentar negar la escritura para todos los usuarios, si desea estar más seguro (por ejemplo, algunas actualizaciones se ejecutan como la cuenta especial TrustedInstaller).

    
respondido por el CBHacking 12.12.2018 - 20:15
fuente

Lea otras preguntas en las etiquetas