我学到了这个答案从 Windows 10 v1607 开始,Windows 默认不允许设置、保存或更改 TPM 所有者密码。因此,通过输入所有者密码来重置 TPM 锁定的选项似乎不再存在。
另一种方法是清除 TPM。以下场景:
- 通过 TPM + PIN 启用 BitLocker
- 一段时间内输入错误 PIN 码超过 256 次
- 现在,TPM 不允许输入超过一次 PIN 码,否则会锁定几分钟
- 在 TPM 锁定期间,可以使用恢复密钥访问系统
清除 TPM 以重置错误 PIN 尝试次数计数器是否安全?BitLocker加密数据会丢失吗?警告画面听起来很严重(下图)。
如上所述,恢复密钥可用。但是,我想避免每次启动计算机时都输入它。
答案1
总结:
清除 TPM 以重置错误 PIN 尝试次数计数器是否安全?
仅当您拥有 BitLocker 恢复密钥时。如果清除 TPM,则只能使用恢复密钥访问加密驱动器。
因此,对于您来说,清除 TPM 芯片应该没问题。之后,重新启动并输入恢复密钥。进入 Windows 后,您可以重新启用 TPM 芯片并设置新的 PIN。
更长的解释:
BitLocker 通常(例外情况见下文)使用计算机的 TPM 芯片来存储解密启动驱动器所需的密钥。如果 TPM 芯片被清除,此密钥将丢失(永远)。在这种情况下,解密驱动器的唯一方法是使用 BitLocker 恢复密钥 - 它专门用于此类情况。
实际上,如果您从使用 BitLocker 加密的驱动器启动,并且 Windows 发现它无法从 TPM 芯片中检索密钥,它将提示您输入恢复密钥。您将看到一个丑陋的黑白屏幕,要求输入密钥。如果您输入正确的密钥,Windows 将正常启动。如果您无法输入密钥 - 运气不好。
有关 BitLocker 如何工作的更多信息,另请参阅 serverfault.com 上的这个问题: TPM 必须重新初始化:是否必须将新的恢复密码上传到 AD?
笔记:
可以在没有 TPM 的情况下使用 BitLocker,但需要先启用该选项。在这种情况下,清除 TPM 不会有什么不同。但是,看起来您正在使用带有 TMP 的 BitLocker,因此这不适用于您的情况。
答案2
是的,当恢复密钥可用时,可以安全地清除 TPM。为了进一步支持 @sleske 的回答,以下是摘录自有关 Bitlocker 恢复的 Technet 文章。
什么原因导致 BitLocker 恢复?
以下列表提供了在尝试启动操作系统驱动器时导致 BitLocker 进入恢复模式的特定事件的示例:
- 关闭、禁用、停用或清除 TPM。
什么是 BitLocker 恢复?
BitLocker 恢复是当您无法正常解锁受 BitLocker 保护的驱动器时恢复对驱动器的访问的过程。在恢复情况下,您可以使用以下选项来恢复对驱动器的访问:
- 用户可以提供恢复密码。如果您的组织允许用户打印或存储恢复密码,则用户可以输入48 位恢复密码将它们打印出来或存储在 USB 驱动器上或通过您的 Microsoft 在线帐户存储。