我使用 TPM2.0 + Bitlocker + PIN 加密 Windows 10 Professional 的 SSD。我已经备份了恢复密码并继续。加密完成并重启两次后,我可以在控制台中写入:
manage-bde -protectors -get c:
,它向我显示了纯文本(!!!)恢复密码:
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
2019 年使用 TPM 加密磁盘时需要明文密码?真的吗?那我为什么需要 TPM?
我尝试找到manage-bde解决方法,但没有成功。
有没有办法隐藏它或使其无法恢复(例如,当仅保存密码哈希而不是纯文本时)?
答案1
TPM 的作用(在本例中)是安全地保存解密密钥,以便系统可以自动启动而无需用户干预。系统只是提供了一种检索恢复密钥的方法(用于包括移除硬盘驱动器等恢复场景),但它以安全的方式进行。首先,它要求系统成功启动才能检索它(因此要经历解密过程),其次,它需要管理员访问权限。