清除 TPM 会使 BitLocker 加密数据不可用吗?
st1*_*t12 10 encryption bitlocker tpm windows-10 windows-10-v1607
我在这个答案中了解到,从 Windows 10 v1607 开始,Windows 默认不允许设置、保存或更改 TPM 所有者密码。因此,似乎不再存在通过输入所有者密码来重置 TPM 锁定的选项。
另一种方法是清除 TPM。以下场景:
- 使用 TPM + PIN 启用 BitLocker
- 在一段时间内输入错误的 PIN 码超过 256 次
- 现在,在进入锁定状态几分钟之前,TPM 不允许多次尝试 PIN 码
- 在 TPM 锁定期间,恢复密钥可用于访问系统
清除 TPM 以重置错误 PIN 尝试的计数器是否安全?BitLocker 加密数据会丢失吗?警告画面听起来很严重(下图)。
如前所述,恢复密钥可用。但是,我想避免每次启动计算机时都必须输入它。
sle*_*ske 12
tl;博士:
清除 TPM 以重置错误 PIN 尝试的计数器是否安全?
仅当您拥有 BitLocker 恢复密钥时。如果清除 TPM,则只能使用恢复密钥访问加密驱动器。
因此,在您的情况下,清除 TPM 芯片应该没问题。之后,重新启动并输入恢复密钥。进入 Windows 后,您可以重新启用 TPM 芯片并设置新的 PIN。
更长的解释:
BitLocker 通常(例外情况见下文)使用计算机的 TPM 芯片来存储解密启动驱动器所需的密钥。如果 TPM 芯片被清除,此密钥将丢失(永远)。在这种情况下,解密驱动器的唯一方法是使用 BitLocker 恢复密钥 - 它专门用于此类情况。
实际上,如果您从使用 BitLocker 加密的驱动器启动,并且 Windows 发现它无法从 TPM 芯片检索密钥,它会提示您输入恢复密钥。你会看到一个丑陋的黑白屏幕,要求输入钥匙。如果输入正确的键,Windows 将正常启动。如果您无法输入密钥 - 运气不好。
有关 BitLocker 如何工作的更多信息,另请参阅 serverfault.com 上的这个问题: TPM 必须重新初始化:是否必须将新的恢复密码上传到 AD?
笔记:
可以在没有 TPM 的情况下使用 BitLocker,但需要先启用该选项。在这种情况下,清除 TPM 不会产生任何影响。但是,您似乎将 BitLocker 与 TMP 一起使用,因此这不适用于您的情况。
| 归档时间: |
|
| 查看次数: |
33419 次 |
| 最近记录: |