安装 Ubuntu 后 BitLocker 要求输入保护代码

Question 1

这个问题是 Windows 不认为 GRUB 是安全组件。因此，每当您从 GRUB 启动 Windows 时，Windows 都会认为启动顺序可能已被破坏，并强制重新输入密钥。

我知道解决这个问题的唯一方法是完全不使用 GRUB。你可以

直接通过 BIOS 菜单选择启动顺序（我使用的解决方案是在启动期间输入 F12，然后 BIOS 就会在启动方案之间进行选择）
或者使用 Windows 引导程序并向其中添加 Linux 选项（点击此处了解如何实现）。

Answer

这个问题是 Windows 不认为 GRUB 是安全组件。因此，每当您从 GRUB 启动 Windows 时，Windows 都会认为启动顺序可能已被破坏，并强制重新输入密钥。

我知道解决这个问题的唯一方法是完全不使用 GRUB。你可以

直接通过 BIOS 菜单选择启动顺序（我使用的解决方案是在启动期间输入 F12，然后 BIOS 就会在启动方案之间进行选择）
或者使用 Windows 引导程序并向其中添加 Linux 选项（点击此处了解如何实现）。

Question 2

我通过以下方式解决了这个问题：“Bitlocker”-->“暂停加密”-->重新启动 Windows 10-->在 GRUB 中选择 Windows 引导加载程序-->Windows 10 加密再次启用，但不再要求输入加密长密钥。

我有 1 个 SSD，上面有： - Windows 10（UEFI / GPT）Bitlocker - Ubuntu：（3 个分区：启动、根和家庭）。

Answer

我通过以下方式解决了这个问题：“Bitlocker”-->“暂停加密”-->重新启动 Windows 10-->在 GRUB 中选择 Windows 引导加载程序-->Windows 10 加密再次启用，但不再要求输入加密长密钥。

我有 1 个 SSD，上面有： - Windows 10（UEFI / GPT）Bitlocker - Ubuntu：（3 个分区：启动、根和家庭）。

Question 3

迟到了，但截至 2022 年 4 月，在 Dell E6530 上安装 Mint 20.3，位于同一驱动器上启用了 bitlocker 的 Windows 10 分区旁边，并且禁用了安全启动，我也遇到了这个问题，并且无法使用此线程或许多其他线程上的各种答案来解决它：

暂停保护无效
解密并重新加密磁盘不起作用：
- 在加密前重新启动进行测试时，弹出消息“指定的数据驱动器未设置为在当前计算机上自动解锁，并且无法自动解锁。 C：未加密”。
- 绕过测试后，加密成功，但每次启动时都必须输入恢复密钥
@jean-bernard-jensen 的回答，根据我的情况，用TPMAndPIN代替TPM也不起作用。安全启动已禁用，所以我的 PCR 配置文件是 0,2,4,11。PCR 配置文件保持不变是它不起作用的原因。

有效的方法：

启动 Windows（使用您的恢复密钥，我假设您已经提取并准备好了该密钥，以防在其余过程中出现任何问题）
打开组策略编辑器（gpedit打开开始菜单后输入）并导航至管理模板> Windows 组件> Bitlocker 驱动器加密> 操作系统驱动器
打开“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”的策略设置
选择“已启用”
取消勾选“PCR 4：启动管理器”
打开提升的命令提示符并使用以下命令（您可能可以用替换TPMAndPin）TPM：
- manage-bde -protectors -delete C: -type TPMAndPIN
- manage-bde -protectors -add C: -TPMAndPIN（要求我设置新的PIN码，可以和之前的一样）
重启
享受！

一旦我的设置完成 - 我可能需要在短期/中期内调整分区大小 - 我可能会再次执行此操作以PCR 5: GPT / Partition Table在 PCR 配置文件中启用。

顺便提一下，一旦您完成了该阶段，下一步可能就是设置一个可以在 Windows 和 Linux 之间共享的加密驱动器。为此，您可能需要了解一下 VeraCrypt，它可以在使用密钥文件登录时在两个操作系统上自动安装相同的加密驱动器，并且具有许多其他出色的功能（隐藏卷）。您也可以完全摆脱 Bitlocker，将 VeraCrypt 用于系统卷，但那是另一回事……

Answer

迟到了，但截至 2022 年 4 月，在 Dell E6530 上安装 Mint 20.3，位于同一驱动器上启用了 bitlocker 的 Windows 10 分区旁边，并且禁用了安全启动，我也遇到了这个问题，并且无法使用此线程或许多其他线程上的各种答案来解决它：

暂停保护无效
解密并重新加密磁盘不起作用：
- 在加密前重新启动进行测试时，弹出消息“指定的数据驱动器未设置为在当前计算机上自动解锁，并且无法自动解锁。 C：未加密”。
- 绕过测试后，加密成功，但每次启动时都必须输入恢复密钥
@jean-bernard-jensen 的回答，根据我的情况，用TPMAndPIN代替TPM也不起作用。安全启动已禁用，所以我的 PCR 配置文件是 0,2,4,11。PCR 配置文件保持不变是它不起作用的原因。

有效的方法：

启动 Windows（使用您的恢复密钥，我假设您已经提取并准备好了该密钥，以防在其余过程中出现任何问题）
打开组策略编辑器（gpedit打开开始菜单后输入）并导航至管理模板> Windows 组件> Bitlocker 驱动器加密> 操作系统驱动器
打开“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”的策略设置
选择“已启用”
取消勾选“PCR 4：启动管理器”
打开提升的命令提示符并使用以下命令（您可能可以用替换TPMAndPin）TPM：
- manage-bde -protectors -delete C: -type TPMAndPIN
- manage-bde -protectors -add C: -TPMAndPIN（要求我设置新的PIN码，可以和之前的一样）
重启
享受！

一旦我的设置完成 - 我可能需要在短期/中期内调整分区大小 - 我可能会再次执行此操作以PCR 5: GPT / Partition Table在 PCR 配置文件中启用。

顺便提一下，一旦您完成了该阶段，下一步可能就是设置一个可以在 Windows 和 Linux 之间共享的加密驱动器。为此，您可能需要了解一下 VeraCrypt，它可以在使用密钥文件登录时在两个操作系统上自动安装相同的加密驱动器，并且具有许多其他出色的功能（隐藏卷）。您也可以完全摆脱 Bitlocker，将 VeraCrypt 用于系统卷，但那是另一回事……

Question 4

在评论区好心人的帮助下，我终于优雅地解决了这个问题。这是优雅的解决方案，取自此处：

为了让 BitLocker 重新获得信任，我只需禁用然后重新启用 BitLocker：

C:\Windows\system32\manage-bde.exe" -protectors -enable c:

C:\Windows\system32\manage-bde.exe" -protectors -disable c:

我认为现在 Windows 像以前一样通过 TPM 使用 BitLocker 和磁盘加密，而 Ubuntu 根本不使用。

可以安装一些 Ubuntu 的东西来让它工作喜欢BitLocker（因此大概也能实现 Windows 和 Ubuntu 之间的共享分区），但我认为目前 Ubuntu 不使用 TPM 硬件，所以它会将整个加密密钥存储在磁盘上，从而违背了加密的目的，所以我想这不值得。

因此，BitLocker 知道启动操作，因此即使 TPM 集成保持完整，也理所当然地等待信任恢复事件。输入保护密钥，然后在 Windows 中使用上述几个命令，使其重新进入信任状态，恢复正常运行。

Answer