触发可恢复的 BitLocker 锁定

tag-icon tag-icon windows-8 encryption bitlocker tpm
触发可恢复的 BitLocker 锁定

我的团队即将为出差的同事提供新的 Windows 8 笔记本电脑。我们的安全解决方案的一部分依赖于 BitLocker 的使用。每台笔记本电脑将有两个分区配置如下:

  • C:-此分区获得 TPM 密钥保护器和 RecoveryPassword 密钥保护器
  • D:-此分区获得 RecoveryPassword 密钥保护器并设置为自动解锁(因此是 ExternalKey 密钥保护器)

在 PowerShell 中,此配置如下所示:

PS C:\Users\Administrator> Get-BitLockerVolume

   ComputerName: COMO035

VolumeType      Mount CapacityGB VolumeStatus           Encryption KeyProtector              AutoUnlock Protection
                Point                                   Percentage                           Enabled    Status
----------      ----- ---------- ------------           ---------- ------------              ---------- ----------
OperatingSystem C:         50,00 FullyEncrypted         100        {Tpm, RecoveryPassword}              On
Data            D:         68,72 FullyEncrypted         100        {RecoveryPassword, Ext... True       On


PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector

KeyProtectorId      : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType    : Tpm
KeyFileName         :
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

在正常启动过程中,此配置完美无缺。TPM 未检测到任何对硬件的篡改,Windows 正常启动。如果我拔出磁盘并尝试在另一台相同的笔记本电脑(使用不同的 TPM)中启动它,则会出现 BitLocker 恢复屏幕。我输入恢复密码后,Windows 再次启动。到目前为止一切顺利。

作为额外的安全层,我们创建了一个由帐户锁定策略触发的脚本。此脚本应使 TPM 无效,因此解锁 BitLocker 的唯一选项是恢复密码。该命令manage-bde -ForceRecovery承诺做到这一点。实际上,它会删除 TPM 密钥保护器(如下面的输出所示),并保持恢复密码选项不变。重新启动后,我提供了恢复密码,但 BitLocker 认为它不正确并拒绝启动 Windows。

PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.

    TPM:
      ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}

Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector


KeyProtectorId      : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType    : RecoveryPassword
KeyFileName         :
RecoveryPassword    : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType  :
Thumbprint          :

KeyProtectorId      : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType    : ExternalKey
KeyFileName         : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword    :
KeyCertificateType  :
Thumbprint          :

在项目的原型阶段,我尝试使用虚拟机,但使用的是常规密码保护器而不是 TPM 保护器。手动删除除密码恢复保护器之外的所有保护器效果很好。

有人知道为什么删除 TPM 密钥保护器后 BitLocker 拒绝恢复密码吗?

相关内容