В компании, где я работаю, есть компьютеры с чипами TPM и Windows 10 Enterprise, и BitLocker используется для полного шифрования диска. У них BitLocker настроен на запрос пароля при загрузке (что, как я полагаю, означает, что TPM не участвует в расшифровке, и диск должен быть зашифрован только самим паролем; это неправильно?).
У коллеги компьютер был отключен от сети на некоторое время, и они удалили доступ к его компьютеру. Чтобы вернуть доступ, ИТ-отделу пришлось сделать с ним "кое-что".
В ходе этого процесса им пришлось
Заставьте BIOS принимать загрузочный USB-накопитель
Сделайте что-нибудь, возможно, включая обновления чего-то (они не смогли объяснить, что делает то, что они запускают, только то, что оно «делает что-то»)
Загрузите компьютер.
Замечено, что пароль BitLocker не работает
Вернулся в BIOS и повторно инициализировал TPM (потому что «иногда это заставляет его принять ключ восстановления»)
Но пароль BitLocker все равно не сработал... и чрезвычайно компетентные ИТ-специалисты (те самые, которые повторно инициализировали TPM) также потеряли ключ восстановления из своей базы данных.
Что на самом деле заставляет его отклонять правильный пароль?
Имеет ли вообще отношение к этому TPM?(требует ли защита паролем как правильного пароля, так и правильного состояния PCR доверенного платформенного модуля, или она не зависит от доверенного платформенного модуля?)
Как он может разблокировать диск с помощью пароля?(если вопрос выше заключается в том, что для этого все еще требуется TPM, то это, вероятно, бесполезный вопрос, потому что это невозможно)
решение1
Имеет ли вообще отношение к этому TPM?
Да; BitLocker определенно использовал TPM для хранения ключа. Когда конфигурация TPM была стерта, этот ключ был навсегда утерян. Единственный способ получить доступ к диску в настоящее время — с помощью ключа восстановления.
Что на самом деле заставляет его отклонять правильный пароль?
Пароль будет принят только после предоставления соответствующего ключа восстановления.
Как он может разблокировать диск с помощью пароля?
В текущем состоянии системы это невозможно.
Ключ восстановления необходим для использования пароля, чтобы снова включить BitLocker. BitLocker был автоматически приостановлен, когда конфигурация TPM была стерта. Данные по-прежнему зашифрованы, но для доступа к ним требуется ключ восстановления.
решение2
Что они сделали, чтобы BIOS загружал Windows с порта USB? Я столкнулся с чем-то очень похожим здесь. Я хотел загрузить зашифрованную BitLocker установку Windows 11 через USB после того, как вставил SSD в адаптер NVMe-to-USB. Я читал, что установка значения BootDriverFlag, в HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\, на десятичные 28 сделает драйверы USB доступными во время загрузки. Черт, теперь он загружается, нодаже передавая правильный 48-значный ключ в BitLockerон возвращает, что ключ - этонеправильный.