我的公司使用带 TPM 的 Bitlocker 来启用直接访问,以便您即使不在工作时也始终在公司网络上。我想在家里有一个始终连接的台式机,但它必须有一个 TPM 芯片。知道哪些主板/台式机支持这个吗?
我有 ThinkPad P1 Gen 3 笔记本电脑,希望它能够双启动 Linux 和 Windows 10。为此,我想使用支持 Linux 和 Windows 的启动管理器;目前我正在使用 rEFInd。我还想启用安全启动并使用 BitLocker 加密我的 Windows 驱动器。
问题是我无法使用 BitLocker 加密我的驱动器。当我使用 rEFInd BitLocker 启动 Windows 时,它不起作用。我发现它被禁用了,因为 PCR7 绑定是不可能的 - 在系统信息中它说:
PCR7 配置:无法 绑定
设备加密支持: 自动设备加密失败原因:不支持PCR7绑定;检测到不允许的 DMA 总线/设备
所有这些似乎都以某种方式与可信平台模块 (TPM) 相关,但我仍在阅读有关这个主题的更多信息,这对我来说是新的。
另一方面,当我直接从 UEFI 条目启动 Windows 时,省略 rEFInd,PCR7 绑定是可能的,并且 BitLocker 工作正常。
我测试了其他支持 Linux 的引导管理器,例如 systemd-boot,问题是一样的。所以这个问题不是 rEFInd 独有的,而是任何不是由 UEFI 直接运行的 Windows 启动管理器的启动管理器。
为什么从其他启动管理器启动 Windows 时无法绑定 PCR7?我该如何解决?
我想要一个列表,在其中我可以看到支持的 CPU/MB 代(不是具体型号),并详细介绍需要哪种 TPM(fTPM、dTPM)的技术细节。
详细了解这些 MB/CPU 的技术现实,以及我是否需要独立的 TPM 卡,或者 CPU/MB 一代是否具有嵌入式/固件 TPM。
遗憾的是,微软的列表非常有限:“第八代核心更新”。
我的 Lenovo T480 运行受 Bitlocker 保护的 Windows 10 安装。如果有任何硬件更改,Bitlocker 被配置为锁定系统(请求密码)。我想保持 Bitlocker 保护完好无损,但能够从不同的 SSD 双重引导到 Linux 或不同的 Win10(无需更改 Bitlocker 配置)。我可以完全访问 UEFI 设置。
据我所知,bitlocker 在 TPM 上放置了类似策略,然后锁定笔记本电脑。即使 Windows 驱动器物理断开连接,TPM 上的 bitlocker 也会阻止任何引导加载程序运行。
这就是我陷入困境的地方:我希望能够换出 Windows 驱动器并使用不同的操作系统,但我无法在不弄乱当前 TPM 配置的情况下做到这一点(据我所知)。
在 T480 的 UEFI 设置中,有一个选项可以停用 TPM。这是否清除了 TPM?这将使 Windows 安装无法使用。在我重新激活它之前,它是否会简单地禁用 TPM?如果我禁用 TPM,使用 Linux 驱动器,然后重新启用 TPM,Bitlocker/TPM 会锁定 Windows 安装吗?
编辑:现在,我正在尝试使用 Windows 10 的第二个副本进行双启动,即使第一个硬盘断开连接,我也会看到一个蓝色的 bitlocker 屏幕,询问我的 USB 密钥。
编辑2:解决了。我从未尝试在 UEFI 中将 TPM 设置为“隐藏”时会发生什么。回顾一下,设置是:
我安装了 disk2 并且能够很好地使用它,直到我启动到 …
tpm ×4
bitlocker ×2
multi-boot ×2
windows-10 ×2
dualboot ×1
ftpm ×1
uefi ×1
windows ×1
windows-11 ×1