我的工作笔记本电脑运行的是启用了 Bitlocker 的 Windows Vista。有时,尤其是当我去度假时,我会将个人 SSD 换到笔记本电脑上,这样我就可以在外出时将笔记本电脑用于个人用途。公司操作系统映像确实被锁定了,我没有本地管理员权限。
无论如何,每当我休假回来并将公司驱动器换回 Windows 时,它都不会启动,并提示启动信息已更改。我必须打电话给我们的帮助台,让他们修复 bitlocker 问题。
他们从来没有为难过我,我解释了我在做什么,似乎没有人对此有意见 - 但不能随时在驱动器之间切换,这很烦人。
是否有人知道在两个硬盘之间切换而不更改任何其他设置会对计算机、BIOS 或 Bitlocker 查看的其他任何内容产生什么影响?
更重要的是,我有没有办法弄清楚到底发生了什么变化,然后自己把它改回来,这样我就可以重新引导到我的公司驱动器,而不需要每次都打电话给服务台?更好的是,有什么想法可以从一开始就阻止正在发生的任何变化吗?
如果硬件的性质与此有关的话,这款笔记本电脑就是新款联想 Thinkpad T420。
提前致谢!
答案1
哪些系统更改会导致我的操作系统驱动器的完整性检查失败?
以下类型的系统更改可能会导致完整性检查失败,并阻止可信平台管理通过释放 BitLocker 密钥来解密受保护的操作系统驱动器:
将受 BitLocker 保护的驱动器移入新计算机。
安装带有新 TPM 的新主板。
关闭、禁用或清除 TPM。
更改任何启动配置设置。
更改 BIOS、UEFI 固件、主引导记录、引导扇区、引导管理器、选项 ROM 或其他早期引导组件或引导配置数据。
此功能是设计使然;BitLocker 将任何早期启动组件的未经授权的修改视为潜在攻击,并将系统置于恢复模式。授权管理员可以通过预先禁用 BitLocker 来更新启动组件,而无需进入恢复模式。
另请阅读以下 30 多点当尝试启动操作系统驱动器时,什么原因导致 BitLocker 进入恢复模式?
我假设您在启动过程中会看到以下错误:
您有权访问包含恢复密码的文本文件吗?我猜只有管理员或 IT 人员才有,对吗?
现在,显然在这种情况下完全关闭 BitLocker 并解密工作驱动器是不可能的。根据常见问题解答,以下方法可能会有所帮助:
如果在操作系统驱动器上启用了 BitLocker,我可以在同一台计算机上交换硬盘吗?
是的,如果启用了 BitLocker,您可以在同一台计算机上交换多个硬盘,但前提是同一台计算机上的硬盘受 BitLocker 保护。BitLocker 密钥对于 TPM 和操作系统驱动器是唯一的,因此如果您想准备一个备份操作系统或数据驱动器以备磁盘故障时使用,您需要确保它们与正确的 TPM 匹配。您还可以为不同的操作系统配置不同的硬盘,然后在每个硬盘上使用不同的身份验证方法(例如一个仅使用 TPM,另一个使用 TPM+PIN)启用 BitLocker,而不会发生任何冲突。
因此,如果可能的话,我想您可以在同一系统上加密您的主驱动器,然后您就可以轻松地交换驱动器。
如果以上方法不可行,则以下方法可能可以,但我很确定这需要管理员权限。如果您有管理员权限,那么下次您想要交换驱动器时,请执行以下操作:
去
Start / Control Panel / System and Security / BitLocker Drive Encryption点击暂停保护对于操作系统(工作)驱动器:
点击是的提示时:
确认 BitLocker 已暂停对于操作系统驱动器:
现在关闭计算机(不是冬眠!
交换驱动器,然后在假期结束后交换回来,并记住恢复保护用于操作系统(工作)驱动器
完成此过程后,您已通过将解密密钥更改为明文密钥暂停了驱动器上的 BitLocker 保护。要从驱动器读取数据,需要使用明文密钥来访问文件。当 BitLocker 暂停时,不会进行 TPM 验证,也不会强制执行其他身份验证方法,例如使用 PIN 或 USB 密钥解锁操作系统驱动器。
另请参阅常见问题解答:
暂停和解密 BitLocker 有什么区别?
解密将完全删除 BitLocker 保护并完全解密驱动器。
当 BitLocker 暂停时,BitLocker 会保持数据加密,但会使用明文密钥加密 BitLocker 卷主密钥。明文密钥是存储在磁盘驱动器上未加密且未受保护的加密密钥。通过以未加密的形式存储此密钥,“暂停”选项允许对计算机进行更改或升级,而无需花费时间和成本来解密和重新加密整个驱动器。在进行更改并再次启用 BitLocker 后,BitLocker 将重新封装加密密钥,使其符合升级过程中更改的测量组件的新值,卷主密钥将被更改,保护器将更新以匹配,并且明文密钥将被擦除。