私が勤務する会社には、TPM チップと Windows 10 Enterprise を搭載したコンピューターがあり、フルディスク暗号化に BitLocker を使用しています。BitLocker は起動時にパスワードを要求するように構成されています (これは、TPM が復号化に関与せず、ディスクはパスワード自体によってのみ暗号化されることを意味すると思いますが、これは間違っていますか?)。
同僚のコンピュータがしばらくの間ネットワークから切断され、そのコンピュータへのアクセスが削除されました。アクセスを回復するには、IT 部門がコンピュータに対して「何か」を行う必要がありました。
この過程で、彼らは
BIOSにUSBブートドライブを許可させる
何かを実行する。おそらく更新も含まれる(実行したものが何をしたかは説明できず、「何かを実行した」とだけ述べられた)
コンピュータを起動する
BitLocker パスワードが機能していないことに気付きました
BIOS に戻り、TPM を再初期化しました (「これにより回復キーが受け入れられる場合がある」ため)
しかし、BitLocker のパスワードはまだ機能しませんでした...そして、非常に有能な IT 担当者 (TPM を再初期化した担当者と同じ) もデータベースから回復キーを失ってしまいました。
正しいパスワードが拒否される原因は何でしょうか?
TPM はこれに関係があるのでしょうか?(パスワード保護には、パスワードが正しいことと、TPM の PCR 状態が正しいことの両方が必要ですか、それとも TPM とは独立していますか?)
どうすればパスワードでドライブのロックを解除できるのでしょうか?(上記の質問が、TPM がまだ必要であるというものである場合、それは不可能なので、おそらく無価値な質問です)
答え1
TPM はこれに関係があるのでしょうか?
はい。BitLocker は確かに TPM を使用してキーを保存していました。TPM 構成が消去されると、このキーは永久に失われます。現在、ドライブにアクセスする唯一の方法は回復キーを使用することです。
正しいパスワードが拒否される原因は何でしょうか?
パスワードは、該当する回復キーが提供された後にのみ受け入れられます。
どうすればパスワードでドライブのロックを解除できるのでしょうか?
現在のシステムの状態ではこれは不可能です。
パスワードを使用して BitLocker を再度有効にするには、回復キーが必要です。TPM 構成が消去されると、BitLocker は自動的に停止されました。 データは暗号化されたままですが、データにアクセスするには回復キーが必要です。
答え2
BIOSがUSBポートからWindowsを起動するようにするために何をしたのでしょうか?私もここで似たようなことに遭遇しました。SSDをNVMe-USBアダプタに挿入した後、USB経由でBitLockerで暗号化されたWindows 11インストールを起動したいと考えていました。 の値を10進数の28に設定すると、起動時にUSBドライバが使用可能になると読んだことBootDriverFlagがHKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\あります。くそ、今は起動しますが正しい48桁のキーをBitLockerに渡してもキーは間違っている。