TPM必须重新实现:是否必须将新的恢复密码上传到AD?

Modified on: Fri, 31 May 2019 17:00:03 +0800

某些方式,用户的机器无法读取TPM芯片的bitlocker密码,我必须输入恢复密钥(存储在AD中)才能进入。没什么大不了的,但是一旦进入我尝试暂停每个恢复文档的bitlocker,并收到有关未初始化TPM的错误消息。我知道TPM已在BIOS中启动并激活,但Windows仍然让我重新初始化TPM芯片,并在此过程中创建了一个新的 TPM所有者密码。

我发现这很奇怪,因为它促使我​​保存此密码或打印它(没有选项没有),但它没有提供恢复密码,也没有将此密码备份到AD。

用户拿走笔记本电脑后离开我开始认为如果TPM密码发生变化,恢复密码是否也会改变?如果是这样,则需要将新的恢复密码上传到AD,但是MS的文档没有说清楚,并且在组策略说明时不会自动将新的恢复密钥(如果存在)备份到AD必须,从网络角度看,AD是可以访问的。

作者:MDMoore313

最佳答案

当BitLocker加密驱动器时,它会将主加密密钥保留在驱动器本身上,但不是纯文本。主密码由“Protectors”自行加密。其中每个都保留了主密钥的单独副本,因为只有加密它的保护程序才能解密主密钥的副本。

当Windows通过GUI加密卷时,它通常会创建两个保护程序:恢复密码(RP)和TPM密钥。如上所述,它们完全分开存放。如果每次创建RP时都配置了GPO,则它将存储在AD中。这是完全自动的,如果您配置了GPO,则无法在不上传到AD的情况下将RP保存到磁盘(即,由于AD无法使用,因此无法创建脱机RP。)

强烈建议放弃GUI。对于系统管理员来说,它过多地掩盖了BitLocker的功能,而BitLocker 的实际操作并不复杂。 CLI实用程序manage-bde随每个支持BitLocker的Windows版本一起提供。这很简单,虽然语法有点冗长。

要查看笔记本电脑的驱动器现在正在做什么,只需运行manage-bde -status C:。至于TPM问题,在解锁PC并启动Windows后,我总是运行manage-bde -protectors -get C:,复制TPM保护器的ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied},最后是manage-bde -protectors -add C: -tpm。这是30秒的工作量,但你确切知道它在做什么,以及你后来的确切位置。

作者:Chris S

相关问答

添加新评论