我的团队即将为出差的同事提供新的 Windows 8 笔记本电脑。我们的安全解决方案的一部分依赖于 BitLocker 的使用。每台笔记本电脑将有两个分区配置如下:
- C:-此分区获得 TPM 密钥保护器和 RecoveryPassword 密钥保护器
- D:-此分区获得 RecoveryPassword 密钥保护器并设置为自动解锁(因此是 ExternalKey 密钥保护器)
在 PowerShell 中,此配置如下所示:
PS C:\Users\Administrator> Get-BitLockerVolume
ComputerName: COMO035
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 50,00 FullyEncrypted 100 {Tpm, RecoveryPassword} On
Data D: 68,72 FullyEncrypted 100 {RecoveryPassword, Ext... True On
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType : Tpm
KeyFileName :
RecoveryPassword :
KeyCertificateType :
Thumbprint :
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
在正常启动过程中,此配置完美无缺。TPM 未检测到任何对硬件的篡改,Windows 正常启动。如果我拔出磁盘并尝试在另一台相同的笔记本电脑(使用不同的 TPM)中启动它,则会出现 BitLocker 恢复屏幕。我输入恢复密码后,Windows 再次启动。到目前为止一切顺利。
作为额外的安全层,我们创建了一个由帐户锁定策略触发的脚本。此脚本应使 TPM 无效,因此解锁 BitLocker 的唯一选项是恢复密码。该命令manage-bde -ForceRecovery承诺做到这一点。实际上,它会删除 TPM 密钥保护器(如下面的输出所示),并保持恢复密码选项不变。重新启动后,我提供了恢复密码,但 BitLocker 认为它不正确并拒绝启动 Windows。
PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.
TPM:
ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
在项目的原型阶段,我尝试使用虚拟机,但使用的是常规密码保护器而不是 TPM 保护器。手动删除除密码恢复保护器之外的所有保护器效果很好。
有人知道为什么删除 TPM 密钥保护器后 BitLocker 拒绝恢复密码吗?