我在 Windows 10 Professional 中使用 TPM2.0 + Bitlocker + PIN 來加密 SSD。我已備份恢復密碼並繼續。加密完成並重新啟動兩次後,我可以在控制台中寫入:
manage-bde -protectors -get c:
,它向我顯示明文(!!!)恢復密碼:
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
2019 年使用 TPM 進行磁碟加密的明文密碼?真的嗎?那我為什麼需要 TPM?
我試圖找到一些東西來manage-bde解決這個問題,但沒有運氣。
有沒有辦法隱藏它或使其不可恢復(例如,當僅保存密碼散列而不保存明文時)?
答案1
TPM(在本例中)的目的是安全地保存解密金鑰,以便系統可以自動啟動而無需使用者乾預。該系統只是提供一種檢索恢復金鑰的方法(用於恢復場景,例如包括刪除硬碟的恢復場景),但它是以安全的方式進行的。首先,它需要係統成功啟動才能檢索它(從而完成解密過程),其次,它需要管理存取權限。