我在 HP probook 本地机器(不是 AD 成员)上有一个 TPM 模块,我按照 tenforums 指南备份恢复密钥。在manage-bde.exe -protectors -get c:
BitLocker 驱动器加密后只发现一个恢复密钥:配置工具版本 10.0.17134 版权所有 (C) 2013 Microsoft Corporation。保留所有权利。
Volume C: []
All Key Protectors
TPM:
ID: {8C58CE07-ХХХХ-ХХХХ-ХХХХ-ХХХХХХХХХХХХ}
PCR Validation Profile:
0, 2, 4, 11
Numerical Password:
ID: {CBA7AE98-ХХХХ-ХХХХ-ХХХХ-ХХХХХХХХХХХХ}
Password:
475651-000000-000000-000000-000000-000000-000000-000000
为什么列出的是数字通行证而不是 TPM 通行证?
UPD:这是否意味着可以通过 TPM ID 解锁驱动器?
答案1
您的输出显示二钥匙槽或“保护器”:
- 一个密钥存储在 TPM 内部(或使用 TPM 密封),ID 为 {8C58CE07…},
- 一个用于恢复的密钥,以数字形式显示,ID为{CBA7AE98…}。
Windows 故意不透露实际的密钥数据(恢复密钥除外)。
要解锁磁盘,您需要只有一个列出的密钥 – 它们可作为备选密钥(它们都只是解密相同的“主”磁盘密钥)。可以使用以下方法解锁磁盘:只是TPM 密封的密钥,完全不需要用户输入 - 或者,如果 TPM 发生故障,则只需使用恢复密钥即可解锁磁盘。
因此,您不需要从 TPM 中提取任何内容——只需备份显示的数字密码就足够了。
答案2
您没有恢复密钥保护器。您需要添加它:
manage-bde -protectors C: -add -RecoveryPassword
然后你就可以检索它了。
答案3
数字密码:是恢复密钥。如果您的 TPM 芯片出现故障或系统更改为恢复密钥模式,您确实需要它,例如,如果您更新 BIOS,它可能会阻止 TPM 解锁磁盘并要求您输入恢复密钥。