Non mi piace la risposta di @Yorick. Questa affermazione:
The disk is not decrypted at boot, but instead Windows makes use of an
additional IO layer
È fuorviante * . Una volta montato il volume crittografato, i contenuti sono accessibili in modo trasparente al software in esecuzione sul dispositivo come se non fosse affatto crittografato.
FDE protegge contro il furto di dati offline . Una volta montato, il volume viene decifrato efficacemente e oltre la protezione FDE.
Per quanto riguarda la domanda di follow-up dell'OP su pre-boot pin:
Bitlocker ha 5 diversi modi di operare :
Il meno sicuro è solo TPM, in cui il TPM viene utilizzato per sbloccare l'unità all'avvio senza ulteriore intervento. Questo protegge i dati nel caso in cui l'unità venga rimossa dal dispositivo, poiché non può essere sbloccata senza il TPM del dispositivo. Non protegge l'unità se l'intero dispositivo viene rubato o utilizzato in altro modo da un utente malintenzionato.
La modalità TPM + PIN, che è la domanda a cui si fa riferimento, aggiunge un pin al processo, quindi per poter utilizzare il TPM per sbloccare l'unità, l'utente deve inserire un pin. Questo protegge anche dal furto del dispositivo, aggiungendo maggiore sicurezza alla modalità precedente. Il compromesso è che richiede la presenza fisica all'avvio. Di solito non è un problema per i laptop, un grosso problema per i server.
Poi ci sono password, smartcard e chiavetta USB contenenti la chiave di sblocco (quest'ultima utile quando non c'è tpm sul dispositivo). Sono consentite anche alcune combinazioni dei diversi metodi.
* Non sto dicendo che la risposta sia sbagliata, ma quella affermazione è fuorviante e confonde inutilmente i principianti