所以我有一台筆記型電腦,目前可以雙啟動 Windows 和 Linux。我主要使用linux安裝,但是我有一些東西需要在windows上安裝。目前,我在 Windows 上設定了 Bitlocker,我確實更喜歡這樣做,但有時 Linux 對系統所做的更改會導致 BitLocker 失效並導致它需要恢復金鑰。這種情況已經發生過幾次了,必須輸入密鑰非常煩人。是否可以透過儲存在 USB 隨身碟上的檔案來解鎖?我不僅僅意味著將鑰匙放在一根棍子上並從中輸入它,我可以訪問該鑰匙,但輸入它真的很煩人。
如果沒有,我可能會完全關閉 Bitlocker,任何我想要加密的東西都在我的 Linux 安裝上,無論如何它都有加密。但如果我能在需要時更快解鎖 Bitlocker,那就太好了。
附註 - 有沒有辦法在某處查看日誌並找出到底是什麼觸發了 bitlocker 需要恢復密鑰?我想我知道這次是什麼,但我想確定一下。
答案1
目前,我在 Windows 上設定了 Bitlocker,我確實更喜歡這樣做,但有時 linux 對系統所做的更改會觸發 Bitlocker 並導致它需要恢復金鑰
避免從 Linux GRUB 啟動 Windows,因為 BitLocker 用於使用 TPM 密封金鑰的系統狀態取決於整個啟動鏈 - 透過 GRUB 意味著任何 grubx64.efi 升級都會使金鑰無法密封。
因此,您可以使用韌體的 F8 選單(或 F11、F12...)來選擇 Windows BOOTMGR,而無需透過 GRUB,或者從 Linux 中使用efibootmgr來要求韌體「下次請直接重新啟動進入 Windows」(請參閱這裡和這裡)。
最重要的是,啟用安全啟動將允許 BitLocker 綁定到 PCR7,這在處理 Windows BOOTMGR 更新時也不太脆弱。 (避免使用 GRUB 是利用 PCR7 密封的先決條件;如果 BitLocker 偵測到鏈中存在任何非 Microsoft 簽章的內容,它將拒絕使用它。)
是否可以透過儲存在 USB 隨身碟上的檔案來解鎖?我的意思不僅僅是把鑰匙放在一根棍子上然後從棍子上輸入
可能是的,這是 BitLocker 的內建功能,但據我所知,它需要不同格式的金鑰;即你不能只將數字恢復密鑰放入文字檔中;您需要為此添加一個新的鍵槽(“鍵保護器”)。
嘗試manage-bde -protectors -add -RecoveryKey在您的 USB 記憶棒上建立金鑰檔案(例如假設它安裝在 H:\):
manage-bde -protectors -add C: -rk H:\
注意:為此,您確實需要 BitLocker 的完整版本(即 Windows Home 中的「裝置加密」不起作用)。我實際上不知道 BitLocker 是否允許這種組合 - 儘管沒有充分的理由不允許,但我記得它有時會變得挑剔。
附註 - 有沒有辦法在某處查看日誌並找出到底是什麼觸發了 bitlocker 需要恢復密鑰?我想我知道這次是什麼,但我想確定一下。
這在技術上是可行的,但它不會是 BitLocker 日誌 - 您將查看 TPM 的“TCG 事件日誌”,並且您必須比較它與“已知工作”日誌中的較早日誌進行比較。 (這是因為它不是“出了問題”日誌 - 它更像是計算 TPM PCR 的“系統狀態審核”日誌;變化此日誌中的內容會影響 TPM 是否同意解封 BitLocker 金鑰或其他資料。
日誌檔案採用標準TCG定義的二進位格式,儲存在韌體的RAM中; Windows 有助於將其轉儲到 .log 檔案中C:\Windows\Logs\MeasuredBoot(早期啟動的日誌收集在那裡,以便您可以比較它們),Linux 允許透過/sys 讀取它,並且有一些工具可以將其從二進位格式解碼為某種形式的文字日誌(我在調查此類 BitLocker 問題時為自己寫了一篇);從...開始微軟推薦的那個可能是個好主意,但還有一個PowerShell模組,tpm2_eventlog在 Linux 上,tcglog 解析器, ETC。
(Windows 自己的事件日誌確實會告訴您BitLocker 是否將其密鑰密封到PCR7 或PCR4+ 等- 如果沒有安全啟動,則屬於後者- 並且我80% 確信標記為PCR4 的事件的更改是原因,因為PCR4事件主要是處理記錄過程中涉及的每個引導程式的確切 SHA 雜湊值,例如 Linux 安裝中的 grubx64.efi。