目前的情況是這樣:
ASUS筆電,使用者沒有主動設定過Bitlocker
固態硬碟沒有移機、換機過,BIOS也沒有改設定或者被重置,也沒有更新過BIOS版本(一直
都是初版)
上述任何設定都沒有變動過的情況下,在7月下旬的某天開機,就看到Win10開機畫面已經
被Bitlocker鎖定,原因是「安全性原則已變更」
(這個安全性原則是來自BIOS設定還是公司網域來管理,就不清楚了,只知道平時的使用者
帳號是公司網域帳號)
到這裡為止我覺得,這台電腦跟許多品牌電腦一樣,剛買來時的狀態,供應商預先裝好的
Win10,Bitlocker會被「開啟」,但沒有「啟用」,類似下圖:
https://i.imgur.com/fHjsJyl.png
此時「磁碟管理」裡面也一樣會顯示Bitlocker加密,類似下圖:
https://i.imgur.com/WfaYXc8.png
不必等到Win11,當時Win10就已經很多品牌電腦買來預設會是這種狀態,沒有關閉的按鈕
,還得自己打指令去關閉,只是這個狀態很奇怪,處於加密開啟後又沒設定完成的步驟,
此時金鑰根本不知道會存在哪裡,據某些文章所言是「Win10登入微軟帳號後,金鑰就會
自動上傳到微軟帳號裡」
那如果一開始登入的帳號是公司網域的員工帳號(例如: 員工英文名@公司網域.com.tw),
那這金鑰會自動上傳到哪裡?
我知道Bitlocker是沒有任何後門的,除了找到金鑰以外是無解的
既然沒有手動設定過Bitlocker,當然不可能把金鑰印出來或者存在某硬碟/隨身碟內,登
入Microsoft公司帳號後,雖然有綁定這台裝置,但詳細資料點開來,沒有儲存任何
Bitlocker修復金鑰,也就是顯示「您並未將任何 BitLocker 修復金鑰上傳到自己的
Microsoft 帳戶。」
另外也請IT登入看過公司網域(Azure AD,也就是Microsoft Entra)的管理員帳號,裡面有
公司所有使用者帳號、以及所有綁定的裝置,有看到這台裝置,但沒有紀錄這台裝置的
BitLocker修復金鑰,也沒有紀錄任何一台電腦的BitLocker修復金鑰
不過Azure AD的頁面太多設定,還沒有完全檢查完畢,另外我也不知道怎麼使用
Microsoft BitLocker Administration and Monitoring (MBAM),以及Microsoft 端點管
理員 Microsoft Intune,甚至都不知道這兩個功能是用什麼網站還是軟體來登入
Bitlocker修復金鑰還有可能存在哪裡?
有可能會自動傳到微軟的Onedrive空間,或者寄到微軟Hotmail(Outlook.com)信箱嗎?
補充:
微軟帳號登入時查看裝置的詳細資訊,有看到「此裝置由Intune管理」這樣的字句,
所以我覺得Microsoft Intune網站登入有機率可以找到(裝置>>監視>>裝置加密狀態)
,就是要再請IT去找