我的联想 T480 运行受 Bitlocker 保护的 Windows 10 安装。如果发生任何硬件更改,Bitlocker 将配置为锁定系统(请求密钥)。我希望保持 Bitlocker 保护完好无损且不被修改,但能够从不同的 SSD 双启动到 Linux 或不同的 Win10(无需更改 Bitlocker 配置)。我可以完全访问 UEFI 设置。
据我所知,bitlocker 在 TPM 上设置了类似策略的东西,然后锁定了笔记本电脑。即使 Windows 驱动器物理断开连接,TPM 上的 bitlocker 也会阻止任何引导加载程序运行。
这就是我遇到的困难:我希望能够换出 Windows 驱动器并使用不同的操作系统,但如果不弄乱当前的 TPM 配置(据我所知),我就无法做到这一点。
在 T480 的 UEFI 设置中,有一个停用 TPM 的选项。这会清除 TPM 吗?这会导致 Windows 安装无法使用。它是否简单地禁用 TPM 直到我重新激活它?如果我禁用 TPM、使用 Linux 驱动器,然后重新启用 TPM,Bitlocker/TPM 是否会锁定 Windows 安装?
编辑:现在,我正在尝试使用第二个 Windows 10 副本进行双启动,即使第一个硬盘断开连接,我仍然会看到一个蓝色的 bitlocker 屏幕,要求我输入 USB 密钥。
编辑2:已解决。我从未尝试过在 UEFI 中将 TPM 设置为“隐藏”时会发生什么。回顾一下,设置如下:
- 磁盘 1 上的 Win10,BitLocker 处于活动状态,密钥存储在通过硬件更改检测保护的 TPM 上
- 磁盘 2 上安装有 Win10,无 BitLocker
我安装了 disk2 并能够正常使用,直到我启动到 disk1。然后我无法启动 disk2。我错误地认为 TPM 阻止我启动与使用 bitlocker 的磁盘不同的磁盘。事实上,发生的事情是 disk1 决定所有驱动器都应受 bitlocker 保护并加密 disk2。此后,disk2 无法自行解锁(可能是因为 bitlocker 使用的主密钥在 disk1 上)并因 bitlocker 错误而无法启动。我没有 disk1 的管理员权限,因此无法从 disk1 关闭 disk2 上的 bitlocker。而是在 disk2 上重新安装了 Win10,并注意在插入 disk2 时不要启动 disk1。
答案1
据我所知,bitlocker 在 TPM 上设置了类似策略的东西,然后锁定了笔记本电脑。即使 Windows 驱动器物理断开连接,TPM 上的 bitlocker 也会阻止任何引导加载程序运行。
不。不要混淆 BitLocker 和安全启动。不要误解 TPM 上发生的事情。
具体来说,唯一的一点进入 TPM 的 BitLocker 是解密密钥获取磁盘的主密钥。
TPM 本质上是一个安全防篡改存储的地方 - 就像智能卡一样。它是被动的,本身不会影响系统的其余部分。它有自己的固件,但不存储也不运行任何操作系统提供的代码;它主要限于加密操作 - 例如,操作系统可以要求 TPM 加密或解密数据。
正如您已经发现的那样,TPM 还具有存储当前系统状态密封数据的功能(例如,您从中启动的驱动器、UEFI 报告的引导加载程序哈希,以及引导加载程序本身报告的任何操作系统/内核哈希)。在此上下文中的“策略”是一组条件,告诉 TPM 何时允许其释放存储的数据(如果操作系统要求的话)。
BitLocker 是 Windows 的磁盘加密系统。它可以防止他人访问你的Windows 无需知道密钥即可驱动,但无法阻止系统本身做任何其他事情,包括从任何其他驱动器启动任何其他操作系统。
BitLocker 可以使用 TPM 来存储其密钥,这些密钥与您正在运行的操作系统完全一致。如果您尝试从其他驱动器启动,或者以某种方式更改引导加载程序,TPM 将拒绝释放密钥,BitLocker 将要求输入恢复密码。
但如果你启动的操作系统没有问TPM 解除该数据的封存,然后什么也没发生。操作系统只是照常启动 — TPM 不会主动尝试阻止它。
安全启动是 UEFI 锁定系统。它能主动阻止系统启动“不受信任的”引导加载程序和操作系统,通常意味着“未经 Microsoft 签名”,尽管可以自定义。
(请注意,安全启动在默认模式下不会绑定到特定的操作系统安装;它将启动任何具有可识别签名的操作系统。这甚至包括名为“Shim”的 Linux 引导加载程序。)
即使没有 TPM 的系统上也可以存在安全启动,同样,TPM 也可以存在于没有安全启动或没有 UEFI 的系统上。
一些制造商(例如 HP)使用 TPM 内存来存储安全启动设置,以免除常见的“取出电池以清除固件设置”技巧。但这仍然不会将 TPM 变成智能卡以外的任何东西。
我希望能够换出 Windows 驱动器并使用 Linux,但如果不弄乱当前的 TPM 配置我就无法做到这一点(据我所知)。
不,您可以在启用 TPM 的情况下自由进行双启动。(如上所述,TPM 是被动的。)事实上,您甚至可以让 Linux 使用相同的 TPM 来密封自己的密钥以进行 LUKS 磁盘加密。
不过,你可能需要禁用安全启动如果它目前阻止 Linux 启动。
更改安全启动设置将阻止 Windows 访问 BitLocker 密钥,但不会清除它。您可以稍后重新启用安全启动并重新获得访问权限 –或者您可以永久禁用安全启动,只需让 Windows 在 TPM 中存储新密钥即可。(输入 BitLocker 恢复密钥后,此操作会自动发生。)
确保您确实拥有恢复密钥前尝试这个。
这能清除 TPM 吗?
官方的“T480用户指南”是不清楚关于这一点,但我猜 TPM 的内容仍然完好无损,因为手册列出了分离“清除 TPM 内容”选项。如果禁用 TPM 即可清除内容,则这两个选项就多余了。
这会导致 Windows 安装无法使用。
不,这只意味着您需要输入 BitLocker 恢复密钥。
使用恢复密钥解锁驱动器后,BitLocker 还将自动创建一个新密钥并再次将其存储在 TPM 中(如果已启用),并根据新的系统状态重新密封。
如果你没有恢复密钥,请manage-bde -protectors使用在您开始修改 TPM 或安全启动设置之前。也可以获取通过控制面板有时甚至使用 Microsoft 帐户存储。
答案2
您可以设置Security Chip为Active/Inactive/Disabled(T440s)。这不会清除任何内容。但是,该选项Clear Security Chip显然会清除加密密钥,并且Security Chip Selection从更改Discrete TPM (TPM 1.2)为Intel PTT (TPM 2.0)也会清除加密密钥(弹出窗口“安全芯片中的所有加密密钥都将被清除。您真的要继续吗?[是]/[否]”)。