我的电脑是戴尔 xps12(2013)笔记本电脑,运行 Windows 8.1 Pro,启用了 uefi 和安全启动。
我成功启用了 tpm 并使用 bitlocker 加密了系统分区。我有点惊讶它默认没有要求我输入密码或任何解锁方法,我真的认为这是一种复杂的设置方式(我过去使用 truecrypt 加密系统分区没有任何问题...)
因此,我现在要做的是使用可靠的密码加密我认为现在存储在 TPM 上的密钥。我想我必须对此驱动器执行“管理 bitlocker->更改启动时驱动器的解锁方式”,但执行此操作时出现错误消息:“组策略设置启动选项存在冲突,无法应用。”
我想我的问题的关键在于“本地组策略编辑器”,所以这里是我的配置:计算机配置>管理模板>系统> TPM 服务:
- 全部 8 项:未配置
计算机配置 > 管理模板 > Windows 组件 > BL 驱动器加密
- 全部 8 项:未配置
计算机配置 > 管理模板 > Windows 组件 > BL 驱动器加密 > 操作系统驱动器:
- 允许安全启动进行安全验证:已启用
- 启动时需要额外的身份验证:已启用
- 启动时需要额外的身份验证(Windows 服务器):已禁用
- 启动时允许增强型 PIN:已启用
- 配置启动时最小引脚长度:启用
- 配置操作系统使用基于硬件的加密:已启用
- 配置操作系统驱动器的密码用途:已禁用
- 所有其他:未配置
希望我的问题足够清楚。提前谢谢。
答案1
这是在域环境中吗(如果是,您可能正在应用其他策略,这可能会导致冲突)?
对于计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器:
- 启动时需要额外的身份验证:已启用(您没有指定所选此配置下的其他设置。)
- 您只能要求一在此设置下添加启动项,否则您将看到您指出的错误。根据您的问题,我建议以下设置:
- 允许没有兼容 TPM 的 BitLocker:未选中(只要启用了 TPM 模块即可实现最大安全性)
- 配置 TPM 启动:不允许 TPM
- 配置 TPM 启动 PIN:需要使用 TPM 启动 PIN
- 配置 TPM 启动密钥:不允许使用 TPM 启动密钥
- 配置 TPM 启动密钥和 PIN:不允许使用 TPM 启动密钥和 PIN
- 您只能要求一在此设置下添加启动项,否则您将看到您指出的错误。根据您的问题,我建议以下设置:
我不确定“配置操作系统驱动器的密码使用:已禁用”是否是问题所在,但如果发现任何问题,我会使用一些机器并进行更新。
答案2
您无法在 tpm 中加密密钥,但您可以将保护器的类型更改为“tpmwithpin”,在这种情况下,TPM 不仅会验证安全启动,还会请求 PIN。(或者您可以在 usb 上要求启动密钥文件,但这相当不方便)
无论如何,在使用保护器之前,您都应该打印数字恢复密钥。
manage-bde.exe -protectors -get C:
manage-bde.exe -protectors -delete C: -type TPM
manage-bde.exe -protectors -add C: -TPMAndPIN 123456
manage-bde.exe -protectors -adbackup C: