我们公司正在运行 Win 7 Enterprise 的笔记本电脑(Lenovo T430s)上启用与 TPM 结合的 Bitlocker。
这种设置对 98% 的公司员工来说都运行良好,没有任何问题,但对我的团队来说却带来了问题,因为我们偶尔会使用可启动 DVD/拇指驱动器发行版来安装安全工具。我们希望使用这些独立的发行版,因此不需要或不需要访问受 Bitlocker 保护的 HD/卷。
在冷启动时,我们仍然可以通过 F12 访问备用启动菜单。备用启动列表明确列出了插入的媒体(例如,插入的 USB 驱动器的具体供应商)。
但是,选择后,虽然媒体似乎可以访问,但它不会启动,片刻之后直接返回菜单。[换句话说,它表现得像媒体实际上不可启动一样。] DVD/拇指驱动器被认为是好的,实际上会启动相同的未受保护的设备。
此外,一旦尝试这样做,系统就会检测到“启动更改”,并使设备进入需要 Bitlocker 数字恢复密码的状态。
负责 Bitlocker 推出的团队漠不关心。他们不会反对我们的团队寻找解决方案,但他们不愿意研究我们的“边缘”用例。(他们甚至很难理解在保持硬盘锁定的同时从备用媒体启动是可能的。)
那么我该如何启动 USB?{不触发 Bitlocker 进入恢复密码状态?}
以下是我在其他地方被问到的一些问题:
- 我确实通常可以访问 BIOS(至少目前)。
- Lenovo BIOS“安全启动”未启用。
- 内部硬盘 (HD) 在启动顺序中排在第一位。
- 我确实在 Windows 中拥有本地管理员权限。
- 至少目前,我可以暂停 BitLocker。但这样做似乎无助于解决这个问题。
- 在 Windows 中,我可以通过 MMC 面板查看 TPM 设置。
- 需要明确的是,这不是 Bitlocker + PIN 保护。驱动器中添加了 TPM 专用保护器;因此不需要 PIN 或密码。第二个监考员是数字恢复密码。
- 我们已经明确测试过需要 Bitlocker PIN 码,但这对此没有帮助。
- 这不是 UEFI 启动
- 我可以提供(如果需要)每个相关 BIOS 屏幕的屏幕截图。
这是利用最新的可用 BIOS 更新。
移除内部硬盘需要用到螺丝刀,因此这不被视为可行的选择。Windows 中的 VM 映像也不是我们想要的选项。
如果需要的话,我可以添加更多细节,但我尽量不要让问题过于复杂。