Windows PE – Recuperando acesso a um volume protegido com o Bitlocker

Olá caro leitor!

Novamente estou aqui para lhes passar uma dica que pode ajudar em um caso extremamente delicado quando utilizamos o recurso Bitlocker ativado em um volume. A perda de acesso.

Em um breve review, o Bitlocker criptografa volumes em algumas versões do Windows Vista e Windows 7 e apenas permite o acesso obtendo uma Key criptografada via chip TPM em sua placa mãe, PIN informado pelo usuário manualmente ou USBStick contendo uma Startup Key a ser lida antes de inicializar o Sistema Operacional.

O processo de uso do Bitlocker sugere ao usuário que o mesmo obtenha e guarde um Recovery Password, seja impresso ou em um arquivo, para que, caso venha a ocorrer a perda de acesso ao volume, seja possível liberar o acesso novamente ao conteúdo do volume.

Em um mundo ideal, seria ótimo seguirmos todos os procedimentos de segurança requeridos para evitarmos problemas no uso de um recurso como este.

No entanto, infelizmente alguns usuários evitam o uso de medidas alternativas como o Recovery Password tendo muitas vezes os dados bloqueado ao perderem o acesso a um volume criptografado com o Bitlocker.

Retornando ao foco principal do post, podemos recuperar o acesso a um volume criptografado pelo Bitlocker de duas maneiras, desde que e somente se, você possuir o Recovery Password impresso e/ou armazenado em um arquivo:

1. DVD do Windows RE + USBStick contendo os arquivo do Bitlocker Repair Tool.
2. CD do Windows PE + pacote WinPE-WMI.cab

Infelizmente, caso você tenha perdido o acesso ao volume em seu equipamento, não será possível o uso do método 1 devido a necessidade do Windows RE reconhecer um volume contendo uma instalação do Windows 7 para somente depois permitir o acesso as ferramentas de recuperação. (By MVP Gildemar dos Santos – aka E-ponto)

Em tempo, para quem desejar utilizar o método 1, há uma documentação disponível da Microsoft com o procedimento a ser feito aqui: http://support.microsoft.com/kb/928201

OBSERVAÇÃO: Ignorem o passo que solicita a instalação da ferramenta. O Bitlocker Repair Tool está presente no Windows 7 nativamente.

Face o fato de não ser possível o uso do método 1, resta apenas o método 2 para ser utilizado.

Vamos então ao passo a passo a ser feito para se obter uma imagem do Windows PE + WinPE-WMI.cab e também o que é necessário:

• Faça o download do Microsoft Windows Automated Installation Kit (AIK): The Windows® Automated Installation Kit (AIK) for Windows® 7
• Instale o Microsoft Windows AIK em uma estação executando o Windows 7.
• Abra o atalho Iniciar > Todos os programas > Microsoft Windows AIK > Deployment Tools Command Prompt clicando com o botão direito e escolhendo Executar como administrador (Run as administrator).
• Na janela do Prompt de Comando digite o comando a seguir e pressione ENTER: copype.cmd {Arquitetura} c:\winpe_{Arquitetura}

O comando acima fará a cópia dos arquivo necessários para criarmos uma imagem do Windows PE para um diretório de destino, por exemplo, copype.cmd x86 C:\WinPE_x86 copia o Windows PE x86 do diretório x86 para o o diretório C:\WinPE_x86.

• No Prompt de Comando, digite o comando a seguir e pressione ENTER: DISM /Mount-WIM /WIMFile:C:\winpe_{Arquitetura}\winpe.wim /Index:1 /MountDir:C:\winpe_{Arquitetura}\mount

O comando acima fará a montagem do arquivo winpe.wim, que contem os bits do Windows PE, para que seja possível injetar o pacote WinPE-WMI.cab nesta imagem.

• No Prompt de Comando, digite o comando a seguir e pressione ENTER: DISM /Image:C:\winpe_{Arquitetura}\mount /Add-Package /PackagePath:”C:\Program Files\Windows AIK\Tools\PETools\{Arquitetura}\WinPE_FPs\WinPE-WMI.cab”

O comando acima injetará o pacote WinPE-WMI.cab na imagem do Windows PE montada atualmente.

• No Prompt de Comando, digite o comando a seguir e pressione ENTER: DISM /UnMount-WIM /MountDir:C:\winpe_{Arquitetura}\mount /Commit

Neste comando estamos informando ao DISM que desmonte a imagem montada e que aplique um Commit na mesma para finalizar as modificações realizadas – pacote WinPE-WMI injetado.

• No Prompt de Comando, digite o comando a seguir e pressione ENTER: copy C:\winpe_{Arquitetura}\winpe.wim C:\winpe_{Arquitetura}\ISO\sources\boot.wim

Precisamos agora substituir o arquivo boot.wim original do Windows PE pelo arquivo que acabamos de modificar, contendo o pacote necessário – é este processo a ser feito com o comando anterior.

• No Prompt de Comando, digite o comando a seguir e pressione ENTER: oscdimg -n -bC:\winpe_{Arquitetura}\etfsboot.com C:\winpe_{Arquitetura}\ISO C:\winpe_{Arquitetura}\WinPE_{Arquitetura}.iso

Com o comando acima utilizaremos o utilitário do Windows AIK para criarmos uma imagem .ISO inicializável do Windows PE.

• Grave a imagem WinPE_{Arquitetura}.iso em um CD.
• Inicie o computador no qual esta a partição do Windows 7 encriptada pelo Bitlocker com o CD contendo o Windows PE.
• Aguarde o ambiente ser iniciado e quando for exibido o Prompt de Comando do Windows PE, execute o comando a seguir e pressione ENTER: manage-bde -unlock driveletter: -recoverypassword {RecoveryKey} – manage-bde -unlock c: -recoverypassword 111111-222222-333333-444444-555555-666666-777777-888888

Estes são os passos necessários para obtermos o acesso em uma partição protegida pelo Bitlocker utilizando o Windows PE + WinPE-WIM.cab.

É importante mencionar que a {Arquitetura} a ser copiada no comando executado no passo “4” tal como a arquitetura no nome do diretório de destino, irão depender da arquitetura do sistema operacional que estiver instalado na partição a ser acessada.

Estão disponíveis no caminho C:\Program Files\Windows AIK\Tools\PETools\ os diretórios: x86 para 32-Bits, amd64 para 64-Bits e ia64 para Itanium, este último apenas para servidores.

Verifique primeiramente a arquitetura do sistema operacional e altere a partir do passo “4” a arquitetura correta substituindo {Arquitetura} pelo recurso correto – copype.cmd amd64 C:\winpe_amd64.

É isto caro leitor!

Espero que a informação possa ser util em uma situação crítica envolvendo o Bitlocker.

Até o próximo post…