Wie werden Systemereignisse, die mit der Systemreservierten Partition verbunden sind, aufgezeichnet, damit Fehler protokolliert werden?

432
Semicolons and Duct Tape

Ich habe die System Reserved Partitio n gelesen und weiß, dass sie alle zum Booten erforderlichen Elemente enthält, damit ein Windows-PC gestartet werden kann. Ich versuche zu verstehen, wie die Interaktion mit der Haupt-OS-Partition in einer Situation funktioniert, in der Bit Locker verwendet wird.

So wie ich es verstehe, benutzt der Computer die Partition zum Booten. Sobald sich ein Benutzer erfolgreich beim Betriebssystem anmeldet, kann er das Hauptlaufwerk für die Verwendung entschlüsseln.

Meine Verwirrung tritt auf, wenn ich die Dinge bedenke, die für Windows normalerweise erforderlich sind, z. B. die Ereignisprotokollierung von Anmeldeversuchen.

Im Falle einer erfolgreichen Anmeldung würde ich davon ausgehen, dass sie nach der Entschlüsselung im entsprechenden Ereignisprotokoll abgelegt werden. Im Falle einer fehlgeschlagenen Anmeldung ist diese Datei jedoch noch nicht verfügbar. Damit Windows es protokollieren kann, muss der Ereignisdatensatz dauerhaft gespeichert werden, und der einzige Ort, an den ich denken kann, ist die Systemreservepartition, da dies die einzige verfügbare Partition ist, die zu diesem Zeitpunkt nicht verschlüsselt ist.

Ist das der Fall? Wenn ja, würde ich gerne eine Antwort erhalten, in der beschrieben wird, wo und wie diese Ereignisse auf der Partition gespeichert werden. Wenn nicht, würde ich gerne wissen, was tatsächlich passiert.

0

1 Antwort auf die Frage

0
LMiller7

Die reservierte Partition ist nicht an der Protokollierung beteiligt. Es besteht kein Bedarf.

"So wie ich es verstehe, benutzt der Computer die Partition zum Booten. Sobald sich ein Benutzer erfolgreich im Betriebssystem anmeldet, kann er das Hauptlaufwerk für die Verwendung entschlüsseln."

BitLocker funktioniert nicht auf diese Weise. Es gibt jedoch einige Dokumentationen, die darauf hindeuten, dass dies der Fall ist. Es ist aus verschiedenen Gründen einfach nicht funktionsfähig, und es gibt einen besseren Weg.

Die Daten auf dem Laufwerk werden nur beim Lesen oder Schreiben verschlüsselt und entschlüsselt. Die Daten werden beim Lesen von der Festplatte entschlüsselt und beim Schreiben verschlüsselt. Dadurch können die Daten auf dem Laufwerk vor, während und nach dem Startvorgang immer verschlüsselt bleiben. Nur ein kleiner Teil des Betriebssystems ist an BitLocker beteiligt, der Rest hat überhaupt keine Kenntnis davon. Während des Bootens und der Anmeldung hat das Betriebssystem bei Bedarf vollen Lese- und Schreibzugriff auf das Laufwerk. Anmeldefehler werden von der Ereignisprotokollsoftware ohne Schwierigkeiten oder Kenntnisse von BitLocker geschrieben.

Verwandte Probleme