安装 Windows 后,我启用 Bitlocker 对 C:\ 驱动器进行全加密。我保存了恢复密钥,然后让 Bitlocker 继续加密整个驱动器。
当我重新启动时,令我惊讶的是,系统完全正常启动,没有提示输入密码。我猜 Bitlocker 正在向 TPM(AMD fTPM)索要密钥来解密驱动器,如果我错了请告诉我。
因此,我尝试让 TPM 要求输入 PIN 码,以免泄露所有秘密。我找到了更改“本地计算机策略”的方法,并配置了“启动时需要额外身份验证”设置,要求输入 PIN 码。
然后我继续为我的 C:\ 驱动器设置密码,一切顺利。我重新启动后系统提示我输入密码,我以为事情就此结束了。
但我想测试清除 TPM,以确保它是存储密钥的组件(我有 Bitlocker 恢复密钥,所以这应该不是问题)。我使用 Windows TPM GUI 清除了 TPM。
令我大吃一惊的是,当我重新启动 Windows 时,系统并没有提示我输入 PIN 码,也没有提示我输入恢复密钥!系统启动正常,但 Bitlocker 处于暂停状态!清除 TPM 后怎么会出现这种情况?密钥应该永远消失了!它们是否已被复制到我的磁盘上的可读区域?
我是否误解了 Bitlocker 和 TPM 如何协同工作?
答案1
在 Ramhound 的帮助下,我能够自己回答我的问题。
清除 TPM 时,Windows 会自动切换到 Bitlocker 的挂起模式。此模式将卷密钥保存在驱动器的非加密扇区上。系统重新启动时,它会使用清除密钥读取卷并收回 TPM 的所有权,从而禁用挂起模式。
以下链接提供了有关如何存储明文密钥以及在卷处于暂停模式时取证技术如何帮助读取卷的信息: