标签: bitlocker

我有一个 700GB 的外部磁盘。我可以在不删除任何数据的情况下安全地打开 bitlocker 吗？

我有一台戴尔 Latitude D620，最近刚刚在上面重新安装了 Windows 7。BitLocker 向导在打开时报告以下错误。

此计算机上必须存在兼容的可信平台模块 (TPM) 安全设备，但未找到 TPM...

当我打开 TPM 管理管理单元时，它报告：

在此计算机上找不到兼容的可信平台模块 (TPM)。验证此计算机是否具有 1.2 TPM 并且已在 BIOS 中打开。

到目前为止，我已经完成了以下工作：

• 验证TPM被打开ON的BIOS

• 验证TPM是ACTIVE在BIOS

• 经验证的 TPM 驱动程序已安装并出现在 Windows 设备管理器中，并报告它可以正常工作

• 已验证 Windows 设备管理器中没有其他设备没有驱动程序或显示为不起作用

• 卸载 TPM 驱动程序（Windows 7 默认驱动程序）并选择删除此设备的驱动程序软件并使用来自 Dell.com 的驱动程序重新安装驱动程序

• 在 BIOS 中使用了 CLEAR TPM 设置选项

• 原来OFF BIOS中的TPM，重新启动，并把它开一次

我注意到有些奇怪的是 TPM 设备没有显示在 Windows 设备管理器的安全设备下，它显示在系统设备下。我记得它过去在安全设备下，并且一些谷歌结果确认它应该出现在那里。还有什么我可以尝试让它工作的吗？BitLocker 是公司的要求，所以我真的需要让它发挥作用。

注意：在重新安装 Windows 7 之前，我在同一台 PC 上启用了 BitLocker，没有任何问题。所以，我知道 TPM 是兼容的。

注：我原本以为是BCD的问题，结果是错的。

我最初的笔记本电脑设置如下：

• 具有 OS X 10.10 和本机全驱动器加密 (FileVault) 的 300 GB 分区。
• 具有 Windows 10 和本机全驱动器加密 (BitLocker) 的 200 GB 分区。
• 安装在 ESP 中的 rEFInd 启动管理器/EFI/boot。
• 安装在 ESP 中的 Microsoft 启动管理器/EFI/Microsoft/Boot。

两天前，我将 OS X 分区缩小到 200GB，并在中间添加了一个 100GB 的分区，我在上面安装了 Ubuntu。
从那时起，我一直无法启动 Windows。
进入 Windows 启动管理器时，我仍然提示输入密码，但之后，我看到一个屏幕说

您的 PC/设备需要维修

发生意外的错误。

错误代码：0xc000000e

然后我插入了我的 Windows 10 安装驱动器，并从命令行 ( ShiftF10)检查了分区。
但diskpart事实证明无法挂载分区，因为它显然是在 MBR 上运行的。
（我确保我在 EFI 模式下启动了安装驱动器（通过 rEFInd 中的手动启动节），所以我希望diskpart在 GPT 上运行，但是哦……）

MBR 最初包含四个分区：

• 静电除尘器
• 麦金塔高清
• 恢复高清 …

我使用的是 Windows 10。BitLocker 受密码保护，没有 TPM，并且正在加密我的数据驱动器，而不是我的系统驱动器。我的系统驱动器上确实有它，但紧急启动 Windows 恢复从未正确解锁 C 驱动器，因此如果我需要恢复恢复点，我必须先解密系统驱动器。在这种情况发生了几次之后，我决定只对系统驱动器进行解密。

当系统驱动器被加密时，我只需在开机时输入系统驱动器密码，它就会解锁系统驱动器和数据驱动器。

但是，现在，如果我想解锁数据驱动器，我必须打开资源管理器，单击驱动器，然后它会打开一个弹出窗口让我输入我的 BitLocker 密码：

我的标准用户登录名不是管理员。我知道我可以得到提示以使用管理员级脚本解锁驱动器，但我不想每次都输入我的管理员密码和我的 BitLocker 密码。此外，系统显然有办法提示普通用户输入密码。

所以我想某种打开资源管理器窗口并单击加密驱动器的宏记录器可以做到。但是，难道没有一种更简单、更明智的方法来让这个窗口弹出，我可以在登录后运行它吗？

它并不绝对需要是那个对话框，但我更喜欢它而不是命令行窗口。

我的问题可能很愚蠢，但我还没有找到有关该主题的确认

与仅依赖 PIN/USB/令牌身份验证相比，使用 TPM 是否可以提高 Windows BitLocker 的性能？

就我而言，我需要更换主板以获得 TPM 支持，但我不会更换 CPU，它是 AMD Phenom II。

在我的记忆中，答案应该是否定的，因为 TPM 仅充当密钥的加密存储，磁盘数据上的加密操作由 CPU 完成，其性能基于硬件加密加速。

这意味着性能降级取决于 Phenom（或任何其他 CPU）快速执行加密的能力。

这个问题显然与安全无关。并且预启动身份验证延迟（例如输入 PIN 的时间）对我来说不算性能。

我在 Windows 10 计算机上启用了 Bitlocker，没有 TPM，只有密码。通常当我重新启动计算机时，它会给我一个简单的蓝色页面，要求我输入密码。输入后，它正常启动，给我一个正常的登录屏幕，上面有我的用户名和个人资料图片。由于 Windows 更新而自动重启时通常会发生相同的过程。

几天来，我一直收到通知，说我需要重新启动以进行新的重大更新。今天早上它自动重新启动（显然，我睡着了）并安装了更新。但是当我醒来使用电脑时，却没有得到纯蓝色的密码页面。我得到了一个带有我的用户名和图片的登录页面，但背景图像不同。登录后，它说欢迎使用新更新，并且我打开的所有窗口都已关闭（就像任何重新启动一样）。

所以我的问题是，它是如何在没有蓝页要求我输入密码的情况下重新启动的？它如何在不输入密码的情况下知道我的用户名和个人资料图片？Bitlocker 是否真的在加密我的数据？

在我的事件日志中，它说“操作系统在系统时间启动？2018？-？02？-？04T12:19”[...]。所以这似乎表明它重新启动了。奇怪的是，我在此之前的所有事件日志似乎都已被删除。

我的设置

我有 ThinkPad P1 Gen 3 笔记本电脑，希望它能够双启动 Linux 和 Windows 10。为此，我想使用支持 Linux 和 Windows 的启动管理器；目前我正在使用 rEFInd。我还想启用安全启动并使用 BitLocker 加密我的 Windows 驱动器。

问题：BitLocker 不起作用

问题是我无法使用 BitLocker 加密我的驱动器。当我使用 rEFInd BitLocker 启动 Windows 时，它不起作用。我发现它被禁用了，因为 PCR7 绑定是不可能的 - 在系统信息中它说：

PCR7 配置：无法 绑定

设备加密支持： 自动设备加密失败原因：不支持PCR7绑定；检测到不允许的 DMA 总线/设备

所有这些似乎都以某种方式与可信平台模块 (TPM) 相关，但我仍在阅读有关这个​​主题的更多信息，这对我来说是新的。

另一方面，当我直接从 UEFI 条目启动 Windows 时，省略 rEFInd，PCR7 绑定是可能的，并且 BitLocker 工作正常。

我测试了其他支持 Linux 的引导管理器，例如 systemd-boot，问题是一样的。所以这个问题不是 rEFInd 独有的，而是任何不是由 UEFI 直接运行的 Windows 启动管理器的启动管理器。

题

为什么从其他启动管理器启动 Windows 时无法绑定 PCR7？我该如何解决？

根据 Bitlocker 常见问题解答：“挂起会保持数据加密，但会使用明文密钥对 BitLocker 卷主密钥进行加密。明文密钥是未加密且不受保护地存储在磁盘驱动器上的加密密钥。通过未加密存储此密钥，挂起选项允许用于对计算机进行更改或升级，而无需解密和重新加密整个驱动器的时间和成本。进行更改并再次启用 BitLocker 后，BitLocker 会将加密密钥重新封装为更改为的测量组件的新值作为升级的一部分，卷主密钥被更改，保护器被更新以匹配，并且清除密钥被删除。”

我的问题是关于最后一部分。有谁知道清除密钥是如何“擦除”的？

它是否只是从文件系统中删除，但在驱动器上保持物理完整？（这意味着它可以通过数据恢复应用程序恢复？）

或者它是否也以某种方式被覆盖/破坏/变得无用？

基本上我正在考虑在 SSD 上的操作系统驱动器上启用 Bitlocker。但我担心任何小偷或攻击者需要做的就是在驱动器上运行数据恢复应用程序，然后可能恢复过去暂停后留下的工作清除密钥。

我正在运行 Windows Vista SP 2。我的 Windows 操作系统驱动器是 bitlocker 加密的。我在辅助驱动器上有一个完整的操作系统驱动器 PC 备份，也被 bitlocker 加密。我想用一个大的操作系统驱动器替换操作系统驱动器，然后从辅助 bitlocker 加密驱动器上的备份进行完整的 PC 还原。从 bitlocker 加密备份驱动器上的映像执行此还原的正确程序是什么？

昨天，我开始加密一个 500GB 的硬盘。现在我必须上大学，在我缺席期间，我想休眠正在进行的位锁加密。但我想知道这是否会在我的硬盘上产生问题。