A empresa em que trabalho possui computadores com chips TPM e Windows 10 Enterprise e usa BitLocker para criptografia completa de disco. Eles têm o BitLocker configurado para exigir uma senha na inicialização (o que acredito significa que o TPM não está envolvido na descriptografia e o disco só deve ser criptografado pela própria senha; isso está errado?).
Um colega de trabalho deixou seu computador fora da rede por um tempo e eles removeram o acesso ao seu computador. Para recuperar o acesso, a TI teve que fazer “coisas” nele.
Nesse processo, eles tiveram que
Faça o BIOS aceitar unidade de inicialização USB
Faça alguma coisa, talvez incluindo atualizações de coisas (eles não foram capazes de explicar o que a coisa que executaram fez, apenas que "fez coisas")
Inicialize o computador
Notei que a senha do BitLocker não estava funcionando
Voltei para o BIOS e reinicializei o TPM (porque "às vezes isso faz com que ele aceite a chave de recuperação")
Mas a senha do BitLocker ainda não funcionou... e o pessoal de TI extraordinariamente competente (os mesmos que reinicializaram o TPM) também perdeu a chave de recuperação do banco de dados.
O que realmente está fazendo com que ele rejeite a senha correta?
O TPM é relevante para isso?(a proteção por senha exige que a senha esteja correta E que o TPM tenha o estado PCR correto ou é independente do TPM?)
Como ele pode desbloquear a unidade com a senha?(se a pergunta acima é que ainda requer o TPM, então esta é provavelmente uma pergunta inútil porque é impossível)
Responder1
O TPM é relevante para isso?
Sim; O BitLocker estava absolutamente usando o TPM para armazenar a chave. Quando a configuração do TPM foi apagada, essa chave foi perdida permanentemente. A única maneira de acessar a unidade atualmente é com a chave de recuperação.
O que realmente está fazendo com que ele rejeite a senha correta?
A senha só seria aceita após o fornecimento da chave de recuperação aplicável.
Como ele pode desbloquear a unidade com a senha?
Isto não é possível nas condições atuais em que o sistema se encontra.
A chave de recuperação é necessária para que a senha seja usada, a fim de habilitar o BitLocker novamente. O BitLocker foi suspenso automaticamente quando a configuração do TPM foi apagada. Os dados ainda estão criptografados, mas a chave de recuperação é necessária para acessá-los.
Responder2
O que eles fizeram para que o BIOS inicializasse o Windows a partir de uma porta USB? Encontrei algo muito semelhante aqui. Eu queria inicializar uma instalação criptografada do Windows 11 com bitlocker via USB depois de colocar o SSD em um adaptador NVMe para USB. Eu li que definir o valor de BootDriverFlag, at HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\, para decimal 28 disponibilizaria os drivers USB no momento da inicialização. Droga, agora inicializa, masmesmo passando a chave correta de 48 dígitos para o bitlockerretorna que a chave éerrado.