La empresa para la que trabajo tiene computadoras con chips TPM y Windows 10 Enterprise, y usa BitLocker para el cifrado de disco completo. Tienen BitLocker configurado para requerir una contraseña al arrancar (lo que creo que significa que el TPM no participa en el descifrado y el disco solo debe cifrarse con la contraseña misma; ¿es esto incorrecto?).
Un compañero de trabajo tiene su computadora fuera de la red por un tiempo y le quitaron el acceso a su computadora. Para recuperar el acceso, TI tuvo que hacerle "cosas".
En el proceso de esto, tuvieron que
Hacer que el BIOS acepte la unidad de arranque USB
Haga algo, tal vez incluyendo actualizaciones de cosas (no pudieron explicar qué hizo lo que ejecutaron, solo que "hizo cosas")
Arranca la computadora
Noté que la contraseña de BitLocker no funcionaba
Regresé al BIOS y reinicié el TPM (porque "a veces eso hace que acepte la clave de recuperación")
Pero la contraseña de BitLocker todavía no funcionaba... y el personal de TI extraordinariamente competente (los mismos que reinicializaron el TPM) también perdieron la clave de recuperación de su base de datos.
¿Qué está causando realmente que rechace la contraseña correcta?
¿Es el TPM relevante para esto?(¿La protección con contraseña requiere que la contraseña sea correcta Y que el TPM tenga el estado de PCR correcto, o es independiente del TPM?)
¿Cómo puede desbloquear el disco con la contraseña?(si la pregunta anterior es que todavía requiere el TPM, entonces probablemente sea una pregunta inútil porque es imposible)
Respuesta1
¿Es el TPM relevante para esto?
Sí; BitLocker absolutamente estaba usando el TPM para almacenar la clave. Cuando se borró la configuración de TPM, esta clave se perdió permanentemente. La única forma de acceder a la unidad actualmente es con la clave de recuperación.
¿Qué está causando realmente que rechace la contraseña correcta?
La contraseña solo se aceptará después de que se proporcione la clave de recuperación correspondiente.
¿Cómo puede desbloquear el disco con la contraseña?
Esto no es posible en las condiciones actuales en las que se encuentra el sistema.
Se requiere la clave de recuperación para poder utilizar la contraseña y poder habilitar BitLocker nuevamente. BitLocker se suspendió automáticamente cuando se borró la configuración del TPM. Los datos todavía están cifrados, pero se requiere la clave de recuperación para poder acceder a ellos.
Respuesta2
¿Qué hicieron para que la BIOS arranque Windows desde un puerto USB? Me encontré con algo muy similar aquí. Quería iniciar una instalación de Windows 11 cifrada con Bitlocker a través de USB después de conectar el SSD en un adaptador NVMe a USB. Leí que establecer el valor de BootDriverFlag, en HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\, en decimal 28 haría que los controladores USB estuvieran disponibles en el momento del arranque. Maldita sea, ahora arranca peroincluso pasando la clave correcta de 48 dígitos a bitlockerme devuelve que la clave esequivocado.