以某种方式,用户的机器无法从 TPM 芯片读取 bitlocker 密码,我必须输入恢复密钥(存储在 AD 中)才能进入。没什么大不了的,但是一旦进入机器,我尝试根据恢复文档暂停 bitlocker,并收到有关 TPM 未初始化的错误消息。我知道 TPM 已打开并在 BIOS 中激活,但 Windows 仍然让我重新初始化 TPM 芯片,并在此过程中创建了一个新的TPM 所有者密码。
我发现这很奇怪,因为它提示我保存此密码或打印它(没有不这样做的选项),但它没有提及恢复密码,也没有将此密码备份到 AD。
在用户拿起她的笔记本电脑离开后,我开始思考如果 TPM 密码更改,恢复密码是否也会更改?如果是这样,则需要将新的恢复密码上传到 AD,但 MS 的文档没有说明这一点,并且不会在组策略规定时自动将新的恢复密钥(如果存在)备份到 AD必须,并且从网络的角度来看 AD 是可访问的。
Chr*_*s S 12
当 BitLocker 加密驱动器时,它会将主加密密钥保留在驱动器本身上,尽管不是纯文本。主密码由“保护者”自行加密。每一个都保留一个单独的主密钥副本,因为只有加密它的保护者才能解密主密钥的副本。
当您让 Windows 通过 GUI 加密卷时,它通常会创建两个保护程序:恢复密码 (RP) 和 TPM 密钥。如上所述,这些是完全分开存储的。如果您在每次创建 RP 时都配置了 GPO,它将存储在 AD 中。这是完全自动的,如果您配置了 GPO,则 RP 无法在不上传到 AD 的情况下保存到磁盘(即,没有脱机 RP 创建,因为 AD 将不可用)。
我强烈建议放弃 GUI。它的BitLocker功能掩盖了太多的系统管理员和BitLocker的实际操作中确实是没有那么复杂。CLI 实用程序manage-bde随每个支持 BitLocker 的 Windows 版本一起提供。虽然语法有点冗长,但它非常简单。
要查看笔记本电脑的驱动器现在正在做什么,只需运行manage-bde -status C:. 至于TPM问题,解锁PC并启动Windows后我总是运行manage-bde -protectors -get C:,复制TPM保护器的ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied},最后manage-bde -protectors -add C: -tpm。多工作 30 秒,但您确切地知道它在做什么,以及您之后的确切位置。
| 归档时间: |
|
| 查看次数: |
20058 次 |
| 最近记录: |