Bitlocker で暗号化されたオペレーティング システム ドライブがあり、グループ ポリシーによって起動時に TPM と PIN を要求するように設定されています。2 番目のドライブはシステム ドライブで自動的にロック解除されます。今日、USB 経由で WinPE 環境にブートしたときに、2 番目のドライブは適切にロックされているものの、システム ドライブはロック解除されていることに気付きました。その USB からブートする場合、もちろん PIN を入力する必要はありませんでした。
これは意図された動作ですか? もしそうなら、ドライブが PIN でのみロック解除されるようにするにはどうすればよいですか?
更新: 以下に回答がありますユーザー1686追加情報: 外部キーが Macrium Reflect によって WinPE USB ドライブに保存されました。
答え1
それは TPM であるべきではありませんでした。なぜなら、そのキーは、ブート プロセスのどの部分が変更されてもアクセスできなくなるような方法で封印されているからです。(これが TPM ベースのロック解除の全体的な考え方です。PIN の有無にかかわらず、キーは「実際の」OS ローダー以外には公開されません。)
私の推測では、ディスクは外部キーつまり、<uuid>.bek同じ USB スティックに保存されているファイルです。Windows が回復キーの保存について尋ねたときに WinPE スティックが接続されていた場合は、これが可能です。
答え2
今日これに遭遇し、BitLocker が有効になっているボリュームが正しく設定されていないのではないかと不安になり、さまざまなシナリオをテストすることに 1 日の大半を費やしました。拡張 PIN (パスワード) を要求するように BitLocker を設定しましたが、Macrium WinPE USB ドライブはボリュームを自動的にロック解除できました。別の BitLocker で暗号化されたラップトップで Macrium WinPE USB ドライブをテストしましたが、そのボリュームにアクセスできなかったため、「Macrium Reflect BitLocker」を Google で検索して答えを見つけました。既定のオプションが「BitLocker ボリュームを自動的にロック解除する」であるにもかかわらず、WinPE USB ドライブには BitLocker 復号化キーがあるため、適切に保護されているはずであることを知らせる大きな赤い文字の警告がないのは恐ろしいことです。これについて言及している Macrium KB を以下に示します。これでこのことがわかり、BitLocker ボリュームに PIN + TPM を強制する方法もわかりました。 https://knowledgebase.macrium.com/display/KNOW72/Windows PE への BitLocker サポートの追加