分区开启 BitLocker 后还能正常用第三方备份工具备份和还原吗？

可以

基于扇区的备份直接就可以用
但是由于开启 BitLocker 后扇区数据是加密状态.无法识别具体是空扇区还是有数据的
所以每次备份还原都是全盘读写一边

基于文件的备份方式需要先使用 Recovery Key 解锁 BitLocker
解锁后就是正常的分区, BitLocker 对文件系统来说是透明的.
也就不会影响基于文件的备份方式

@clorischan 搭车问一下:这种情况下,还需要备份某一个分区才能还原系统吧?就是开机的时候要求解锁已加密驱动器的那个程序,这个程序不能加密吧?否则怎么解锁?

搭车问一下：BitLocker 安全还是 U 盘移动硬盘里附带的厂商的加密软件安全？

可以是可以 就是很蛋疼
给予扇区备份会导致文件很大 都是加密数据也不太好压缩

或者你可以把分区解锁挂载之后再去备份 winpe 里可以用 recovery password 挂载
ghost 没试过 不清楚 dg 应该也可以备份 但具体什么形式就不知道了

这种情况最好还是用那种给予文件时间戳和其他特征增量备份的东西

查了下我正在用的 Macrium Reflect, 和 @clorischan 说的一样，它在 BitLocker 分区已解锁的情况下，是可以正常只备份有数据部分的明文数据的
https://knowledgebase.macrium.com/display/KNOW72/BitLocker+Restore+Outcomes

@jekyll 没有限定必须使用哪款那就上 veracrypt,开源,跨平台

@7RTDKSAK veracrypt 跟 vmware workstation pro (player 应该一样因为底层是一个东西)冲突
如果你虚拟机用到了物理盘就会有问题
我之前碰到这诡异毛病自己找了半天问题 后来发现是 veracrypt 的问题
单独验证过 最新版 veracrypt 和 vmware workstation pro
重启之后启动过 veracrypt 的话 再从物理盘启动虚拟机就会报错 说权限问题之类的
vm 论坛说过了 没人关心貌似 至今也没有更好的解决办法 只有重启之后不要开 veracrypt

以下是关键 log

2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: "\\.\PhysicalDrive4" : write s=1048576 n=4096 ne=1, fai=0
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: v[0]=18EF8A98000:4096
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: Retry on write "\\.\PhysicalDrive4" : Access is denied.
2022-01-25T19:51:49.270Z In(05) vmx VMXAIOMGR: system : err=50002 errCode=5 freeSpace=18446744073709551615

@424778940
没理解?
物理机启动 vc,再启动虚拟机,会报错?
物理机不启动 vc,直接启动虚拟机,就成功启动?
是这意思吗?
我物理机上 vc 和 vmware ws 都是装机必备,没有碰到这情况?

@7RTDKSAK 谢谢，我了解一下。

@7RTDKSAK ESP 分区就是干这事的，获取 TPM 中的 key ，解锁 OS 分区后启动。

印象中 Ghost 是文件和块都支持的，好像是检测到文件系统是 NTFS FAT32 等就会用 Ghost 自己实现的代码去读取，不会用操作系统的接口(因为要支持 DOS)，如果是不支持的文件系统则是直接读取原始数据。不确定 Ghost 会不会把加密过的 NTFS 文件系统当成损坏了然后拒绝工作，建议选择更加现代的工具。

@clorischan 未加密系统驱动器的话,bcdboot 可以重建 ESP
加密了也能吗?

@jekyll 我认为 BitLocker 更安全:

1. 数据安全 (safety): BitLocker 久经考验, 而一些厂商的加密软件有 bug 的概率更高.
2. 厂商加密软件放 u 盘里面可能被篡改, 窃取密码, 相信不少人没有去验证.
3. 一些厂商实现的是硬件层加密, 同样也有信息泄露风险, BitLocker 以前有这个风险, 现在已经不用 BitLocker 硬件加密了.

但 BitLocker 必须在可信计算机上解锁, 不然解锁后分分钟被偷走密码 (默认设置下)

@7RTDKSAK 必须解锁才能重建 bcd 引导, 因为它需要从 Windows 目录拷贝文件. 不过如果你 bcd/bootmgr 相关文件有效的情况下, 或许可以试试直接 bcdedit 增加引导项.

另外, bootmgfw 等文件受 secure boot 验证保护, 比不支持 secure boot 的第三方安全.

除非自签 veracrypt, 但操作就很麻烦了

@7RTDKSAK OS 分区未解锁情况下不可以
ESP 分区内就是 Windows Boot Manager
用 bcdboot 重建 ESP 需要将 OS 分区的 GUID 写入到 Windows Boot Manager
未解锁情况下, 无法获取 OS 分区的 GUID

@Osk
@clorischan
了解,谢谢

@Osk 好的，谢谢。
我这里就是讨论普通人在普通场景下的加密，防普通上班族使用场景下的泄密，像“必须在可信计算机上解锁, 不然解锁后分分钟被偷走密码”这种场景，感觉比较专业了，真这么有针对性，也认栽了（多问一句，这种场景有更好的方案吗？

@jekyll yubikey 智能卡

@jekyll 那种情况基本无解