我有一個使用 Bitlocker 加密的作業系統驅動器,透過群組原則設定為在啟動時需要 TPM 和 PIN。第二個驅動器與系統驅動器一起自動解鎖。今天,我注意到當我透過 USB 啟動到 WinPE 環境時,雖然第二個驅動器已正確鎖定,但係統驅動器已解鎖。從 USB 啟動時,我當然不需要輸入 PIN 碼。
這是有意的行為嗎?如果是這樣,我怎麼能讓驅動器只能使用 PIN 碼解鎖?
更新:下面回答用戶1686。附加資訊:外部金鑰由 Macrium Reflect 儲存在 WinPE USB 隨身碟上。
答案1
它根本不應該是 TPM,因為該金鑰的密封方式使得啟動過程的任何部分發生變更時它都將無法存取。 (這就是基於 TPM 的解鎖的整個想法:無論是否有 PIN,密鑰都不會透露給「真正的」作業系統載入程式之外的任何其他人。)
我的猜測是磁碟是使用解鎖的外鍵,即<uuid>.bek
儲存在同一個 U 碟上的檔案。如果您在 Windows 詢問是否儲存復原金鑰時連接了 WinPE 棒,則可以這樣做。
答案2
我今天遇到了這個問題,花了很多時間懷疑我啟用 BitLocker 的捲設定不正確,並測試了各種場景。我甚至將 BitLocker 設定為需要增強的 PIN(密碼),但 Macrium WinPE USB 隨身碟仍然能夠自動解鎖該磁碟區。我在另一台 BitLocker 加密筆記型電腦上測試了 Macrium WinPE USB 驅動器,但它無法訪問該卷,因此我在 Google 上搜索“Macrium Reflect BitLocker”並找到了答案。可怕的是,預設選項是“自動解鎖 BitLocker 磁碟區”,但沒有大紅色字母警告讓您知道 WinPE USB 磁碟機應該會正確保護,因為它上面有 BitLocker 解密金鑰!提到這一點的 Macrium KB 如下。現在我知道了這一點,並且還了解如何在我的 BitLocker 磁碟區上強制使用 PIN + TPM。 https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE