USB ドライブを使用して BitLocker を回復することは可能ですか?

現在、Windows に BitLocker を設定していますが、これは好ましい設定です。しかし、Linux がシステムに加える変更によって BitLocker がトリップし、回復キーが必要になることがあります。

Linux GRUB 内から Windows を起動することは避けてください。これは、BitLocker が TPM でキーを封印するために使用するシステム状態が、ブート チェーン全体に依存するためです。GRUB を経由すると、grubx64.efi のアップグレードによってキーが封印解除されてしまいます。

代わりに、ファームウェアのF8メニュー（またはF11、F12など）を使用して、GRUBを経由せずにWindows BOOTMGRを選択します。またはLinuxから使用してefibootmgr、ファームウェアに「次回はWindowsに直接再起動してください」と要求します（ここそしてここ）。

さらに、セキュア ブートを有効にすると、BitLocker は PCR7 にバインドできるようになり、Windows BOOTMGR の更新を処理する際の脆弱性も軽減されます。(PCR7 シーリングを利用するには、GRUB を回避することが前提条件です。チェーン内に Microsoft 署名以外のものが検出されると、BitLocker は PCR7 の使用を拒否します。)

USBスティックに保存されたファイルからロックを解除することは可能ですか？キーをスティックに入れて、そこから入力するだけではありません

おそらく、それは BitLocker の組み込み機能ですが、私の記憶では、異なる形式のキーが必要です。つまり、数値の回復キーをテキスト ファイルにそのまま入れることはできません。そのためには、新しいキースロット (「キー プロテクター」) を追加する必要があります。

manage-bde -protectors -add -RecoveryKeyUSB スティックにキー ファイルを作成するには、次のようにします(たとえば、H:\ にマウントされていると仮定します)。

manage-bde -protectors -add C: -rk H:\

注: これには BitLocker のフル バージョンが必要です (つまり、Windows Home の「デバイス暗号化」では不十分です)。BitLocker でこの組み合わせが許可されるかどうかは実際にはわかりません。許可されない理由は特にありませんが、時々許可されないことがあると記憶しています。

補足ですが、どこかのログを調べて、BitLocker が回復キーを必要とする原因を正確に特定する方法はありますか? 今回は原因が何だったかわかっていると思いますが、確認しておきたいと思います。

技術的には可能ですが、BitLockerのログではありません。TPMの「TCGイベントログ」を参照する必要があり、比較するそれを「動作が確認されている」ログの以前のログと比較します。(これは、「問題が発生した」ログではなく、TPM PCR が計算される「システム状態監査」ログであるためです。変更このログの内容は、TPM が BitLocker キーまたはその他のデータの封印解除に同意するかどうかに影響します。

ログファイルは標準の TCG 定義のバイナリ形式で、ファームウェアの RAM に保存されます。Windows では、.log ファイルにダンプされますC:\Windows\Logs\MeasuredBoot(以前のブートからのログがそこに収集されるため、比較できます)。Linux では、/sys 経由で読み取ることができます。また、バイナリ形式から何らかのテキスト ログにデコードするツールもあります (私は、この種の BitLocker の問題を調査したときに自分で 1 つ作成しました)。マイクロソフトが推奨するもの良いアイデアかもしれないが、PowerShell モジュールtpm2_eventlogLinuxでは、tcglog パーサーなど

(Windows のイベント ログには、BitLocker がキーを PCR7 に封印するか、PCR4+ などに封印するかが示されています。セキュア ブートがない場合は後者です。PCR4 のイベントは主に、Linux インストールの grubx64.efi など、プロセスに関係するすべてのブートローダーの正確な SHA ハッシュを記録することを処理するため、PCR4 としてマークされたイベントの変更が原因であると 80% 確信しています。)