我工作的公司擁有配備 TPM 晶片和 Windows 10 Enterprise 的計算機,並使用 BitLocker 進行全碟加密。他們將 BitLocker 配置為在啟動時需要密碼(我認為這意味著 TPM 不參與解密,而且磁碟只能由密碼本身加密;這是錯誤的嗎?)。
一位同事將他的電腦與網路斷開一段時間,然後他們刪除了他的電腦的存取權。為了重新獲得存取權限,IT 部門必須對其進行「操作」。
在這個過程中,他們不得不
使 BIOS 接受 USB 啟動驅動器
做一些事情,也許包括對東西的更新(他們無法解釋他們運行的東西做了什麼,只能說它“做了東西”)
啟動電腦
注意到 BitLocker 密碼不起作用
返回 BIOS 並重新初始化 TPM(因為「有時這會使其接受恢復金鑰」)
但 BitLocker 密碼仍然不起作用...並且非常有能力的 IT 人員(重新初始化 TPM 的人員)也遺失了資料庫中的復原金鑰。
實際上是什麼導致它拒絕正確的密碼?
TPM 與此相關嗎?(密碼保護是否要求密碼正確且 TPM 具有正確的 PCR 狀態,還是獨立於 TPM?)
他如何使用密碼解鎖磁碟機?(如果上面的問題是它仍然需要TPM,那麼這可能是一個毫無價值的問題,因為它是不可能的)
答案1
TPM 與此相關嗎?
是的; BitLocker 絕對是使用 TPM 來儲存金鑰。當 TPM 配置被擦除後,該金鑰將永久遺失。目前存取磁碟機的唯一方法是使用復原金鑰。
實際上是什麼導致它拒絕正確的密碼?
只有在提供適用的恢復金鑰後,密碼才會被接受。
他如何使用密碼解鎖磁碟機?
在系統目前的情況下這是不可能的。
需要恢復金鑰才能使用密碼並再次啟用 BitLocker。擦除 TPM 配置時,BitLocker 會自動掛起。 資料仍然是加密的,但需要恢復金鑰才能存取資料。
答案2
他們做了什麼讓 BIOS 從 USB 連接埠啟動 Windows?我在這裡遇到了非常相似的事情。我想在將 SSD 封裝在 NVMe 至 USB 轉接器中後,透過 USB 啟動 Bitlocker 加密的 Windows 11 安裝。我讀到,將, BootDriverFlagat的值設為HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\十進制 28 將使 USB 驅動程式在啟動時可用。該死,它現在啟動了,但是甚至將正確的 48 位元金鑰傳遞給 Bitlocker它回傳密鑰是錯誤的。