我所在的公司有配备 TPM 芯片和 Windows 10 Enterprise 的计算机,并使用 BitLocker 进行全盘加密。他们将 BitLocker 配置为在启动时需要密码(我认为这意味着 TPM 不参与解密,磁盘应该只由密码本身加密;这错了吗?)。
一位同事的电脑暂时无法上网,他们取消了他的电脑访问权限。为了恢复访问权限,IT 部门必须对电脑进行“处理”。
在此过程中,他们必须
让 BIOS 接受 USB 启动驱动器
做一些事情,可能包括对某些东西的更新(他们无法解释他们运行的东西做了什么,只是说它“做了一些事情”)
启动计算机
发现 BitLocker 密码不起作用
返回 BIOS 并重新初始化 TPM(因为“有时这会使其接受恢复密钥”)
但是 BitLocker 密码仍然不起作用......并且非常能干的 IT 人员(重新初始化 TPM 的人)也从他们的数据库中丢失了恢复密钥。
究竟是什么原因导致它拒绝正确的密码?
TPM 与此相关吗?(密码保护是否要求密码正确并且 TPM 具有正确的 PCR 状态,或者它是否独立于 TPM?)
他怎样才能用密码解锁驱动器?(如果上面的问题是它仍然需要 TPM,那么这可能是一个毫无价值的问题,因为这是不可能的)
答案1
TPM 与此相关吗?
是的;BitLocker 确实使用 TPM 来存储密钥。当 TPM 配置被擦除时,此密钥将永久丢失。目前访问驱动器的唯一方法是使用恢复密钥。
究竟是什么原因导致它拒绝正确的密码?
仅提供适用的恢复密钥后才会接受密码。
他怎样才能用密码解锁驱动器?
在系统当前状况下这是不可能的。
需要恢复密钥才能使用密码,以便再次启用 BitLocker。当 TPM 配置被擦除时,BitLocker 会自动暂停。 数据仍然是加密的,但需要恢复密钥才能访问数据。
答案2
他们做了什么让 BIOS 从 USB 端口启动 Windows?我在这里遇到了非常类似的事情。我想在将 SSD 封装在 NVMe-to-USB 适配器中后通过 USB 启动 bitlocker 加密的 Windows 11 安装。我读到将 的值设置BootDriverFlag为HKEY_LOCAL_MACHINE\SYSTEM\HardwareConfig\Current\十进制 28 会使 USB 驱动程序在启动时可用。该死,它现在可以启动了,但是即使将正确的 48 位密钥传递给 bitlocker它返回的是关键错误的。