Phi*_*Doe 3 bitlocker multi-boot tpm uefi windows-10
我的 Lenovo T480 运行受 Bitlocker 保护的 Windows 10 安装。如果有任何硬件更改,Bitlocker 被配置为锁定系统(请求密码)。我想保持 Bitlocker 保护完好无损,但能够从不同的 SSD 双重引导到 Linux 或不同的 Win10(无需更改 Bitlocker 配置)。我可以完全访问 UEFI 设置。
据我所知,bitlocker 在 TPM 上放置了类似策略,然后锁定笔记本电脑。即使 Windows 驱动器物理断开连接,TPM 上的 bitlocker 也会阻止任何引导加载程序运行。
这就是我陷入困境的地方:我希望能够换出 Windows 驱动器并使用不同的操作系统,但我无法在不弄乱当前 TPM 配置的情况下做到这一点(据我所知)。
在 T480 的 UEFI 设置中,有一个选项可以停用 TPM。这是否清除了 TPM?这将使 Windows 安装无法使用。在我重新激活它之前,它是否会简单地禁用 TPM?如果我禁用 TPM,使用 Linux 驱动器,然后重新启用 TPM,Bitlocker/TPM 会锁定 Windows 安装吗?
编辑:现在,我正在尝试使用 Windows 10 的第二个副本进行双启动,即使第一个硬盘断开连接,我也会看到一个蓝色的 bitlocker 屏幕,询问我的 USB 密钥。
编辑2:解决了。我从未尝试在 UEFI 中将 TPM 设置为“隐藏”时会发生什么。回顾一下,设置是:
我安装了 disk2 并且能够很好地使用它,直到我启动到 disk1。然后我无法启动disk2。我错误地认为 TPM 阻止我启动与使用 bitlocker 的磁盘不同的磁盘。事实上,disk1 决定所有驱动器都应该受 bitlocker 保护并为我加密 disk2。此后,disk2 无法自行解锁(大概是因为bitlocker 使用的主密钥在disk1 上)并且无法启动并出现bitlocker 错误。我在 disk1 上没有管理员权限,所以我无法从 disk1 关闭 disk2 上的 bitlocker。而是在磁盘 2 上重新安装了 Win10,并且在插入磁盘 2 时会注意不要启动磁盘 1。
据我所知,bitlocker 在 TPM 上放置了类似策略,然后锁定笔记本电脑。即使 Windows 驱动器物理断开连接,TPM 上的 bitlocker 也会阻止任何引导加载程序运行。
不。不要混淆 BitLocker 和安全启动。不要误会 TPM 上的内容。
具体来说,进入 TPM的唯一BitLocker 是磁盘主密钥的解密密钥。
TPM 本质上是一个安全防篡改存储的地方——就像智能卡一样。它是被动的,不能单独影响系统的其余部分。它有自己的固件,但不存储也不运行任何操作系统提供的代码;它主要限于加密操作——例如,操作系统可以要求 TPM 加密或解密数据。
正如您已经发现的那样,TPM 还具有存储与当前系统状态密封的数据的功能(例如,您启动的驱动器、UEFI 报告的引导加载程序哈希值,以及引导加载程序本身报告的任何操作系统/内核哈希值)。此上下文中的“策略”是一组条件,告诉 TPM 何时允许释放存储的数据(如果操作系统要求)。
BitLocker 是 Windows 的磁盘加密系统。它可以防止有人在不知道密钥的情况下访问您的Windows 驱动器,但它不会阻止系统本身执行任何其他操作,包括从任何其他驱动器启动任何其他操作系统。
BitLocker 可以使用 TPM 作为存储其密钥的地方,这些密钥针对您正在运行的确切操作系统进行密封。如果您尝试从不同的驱动器启动,或以某种方式更改引导加载程序,TPM 将拒绝释放密钥,BitLocker 将要求提供恢复密码。
但是,如果您启动的操作系统不要求TPM 解封该数据,那么什么都不会发生。操作系统只是像往常一样启动——TPM 不会主动尝试阻止它。
安全启动是 UEFI 锁定系统。它可以主动阻止系统启动“不受信任的”引导加载程序和操作系统,这通常意味着“未由 Microsoft 签名”,但可以自定义。
(请注意,默认模式下的安全启动不会绑定到特定的操作系统安装;它会启动任何具有可识别签名的操作系统。这甚至包括名为“Shim”的 Linux 引导加载程序。)
即使没有 TPM,安全启动也可以存在于系统上,类似地,TPM 可以存在于没有安全启动的系统上,或者实际上没有 UEFI。
一些制造商(例如 HP)使用 TPM 内存来存储安全启动设置,以使其免于通常的“取出电池以清除固件设置”的技巧。这仍然不会将 TPM 变成智能卡以外的任何东西。
我希望能够换出 Windows 驱动器并使用 Linux,但我不能在不弄乱当前 TPM 配置的情况下做到这一点(据我所知)。
不,您可以在启用 TPM 的情况下自由双引导。(如前所述,TPM 是被动的。)事实上,您甚至可以让 Linux 使用相同的 TPM 来密封其自己的密钥以进行 LUKS 磁盘加密。
但是,如果安全启动当前阻止 Linux 启动,您可能需要禁用它。
更改安全启动设置将阻止 Windows 访问 BitLocker 密钥,但不会清除它。您可以稍后重新启用安全启动并重新获得访问权限 -或者您可以永久禁用安全启动,只需让 Windows 在 TPM 中存储一个新密钥。(只要您输入 BitLocker 恢复密钥,这就会自动发生。)
在尝试此操作之前,请确保您确实拥有恢复密钥。
这是否清除了 TPM?
官方的“T480 用户指南”对此不清楚,但我猜 TPM 的内容保持不变,因为手册列出了单独的“清除 TPM 内容”选项。如果禁用 TPM 清除它,这两个选项将是多余的。
这将使 Windows 安装无法使用。
不,这仅意味着您需要输入 BitLocker 恢复密钥。
使用恢复密钥解锁驱动器后,BitLocker 还将自动创建一个新密钥并将其再次存储在 TPM 中(如果已启用),根据新的系统状态重新密封。
如果您没有恢复密钥,请manage-bde -protectors在开始修改 TPM 或安全启动设置之前使用它来获取它。它也可以通过控制面板获得,有时甚至与您的 Microsoft 帐户一起存储。
| 归档时间: |
|
| 查看次数: |
3593 次 |
| 最近记录: |