Bitlocker

必須重新初始化 TPM:是否必須將新的恢復密碼上傳到 AD?

  • February 10, 2017

以某種方式,使用者的機器無法從 TPM 晶片讀取 bitlocker 密碼,我必須輸入恢復密鑰(儲存在 AD 中)才能進入。沒什麼大不了的,但是一旦進入機器,我嘗試根據恢復文件暫停 bitlocker,並收到有關 TPM 未初始化的錯誤消息。我知道 TPM 已打開並在 BIOS 中啟動,但 Windows 仍然讓我重新初始化 TPM 晶片,並且在此過程中它創建了一個的TPM 所有者密碼。

我發現這很奇怪,因為它提示我保存或列印此密碼(沒有不這樣做的選項),但它沒有引用恢復密碼,也沒有將此密碼備份到 AD。

使用者拿起她的筆記型電腦離開後,我開始思考如果 TPM 密碼更改,恢復密碼是否也會更改?如果是這樣,則需要將新的恢復密碼上傳到 AD,但 MS 的文件沒有說明這一點,並且當組策略說明時不會自動將新的恢復密鑰(如果存在)備份到 AD必須,並且從網路的角度來看,AD 是可訪問的。

當 BitLocker 加密驅動器時,它會將主加密密鑰保存在驅動器本身上,儘管不是純文字形式。主密碼由“保護者”自行加密。它們中的每一個都保留了主密鑰的單獨副本,因為只有加密它的保護者才能解密該主密鑰的副本。

當您讓 Windows 通過 GUI 加密卷時,它通常會創建兩個保護程序:恢復密碼 (RP) 和 TPM 密鑰。如上所述,這些是完全分開儲存的。如果您在每次創建 RP 時都配置了 GPO,它將儲存在 AD 中。這是完全自動的,如果您配置了 GPO,則如果不上傳到 AD,則無法將 RP 保存到磁碟(即,由於 AD 不可用,因此無法創建離線 RP)。

強烈建議放棄 GUI。對於系統管理員來說,它過於掩飾了BitLocker的功能,而BitLocker的實際操作確實沒有那麼複雜。CLI 實用程序manage-bde隨支持 BitLocker 的每個版本的 Windows 一起提供。這很簡單,儘管語法有點冗長。

要查看筆記型電腦的驅動器現在正在做什麼,只需執行manage-bde -status C:. 至於 TPM 問題,在解鎖 PC 並啟動 Windows 後,我總是執行manage-bde -protectors -get C:,複製 TPM 保護器的 ID(包括括號),然後執行manage-bde -protectors -delete C: -id {the_id_you_copied},最後manage-bde -protectors -add C: -tpm。工作時間增加了 30 秒,但你確切​​地知道它在做什麼,以及你之後的確切位置。

引用自:https://serverfault.com/questions/551652