如何使 Bitlocker 恢复密码不可读/不可恢复?

如何使 Bitlocker 恢复密码不可读/不可恢复?

我使用 TPM2.0 + Bitlocker + PIN 加密 Windows 10 Professional 的 SSD。我已经备份了恢复密码并继续。加密完成并重启两次后,我可以在控制台中写入:

manage-bde -protectors -get c:

,它向我显示了纯文本(!!!)恢复密码:

BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []
All Key Protectors

    Numerical Password:
      ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
      Password:
        XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

    TPM And PIN:
      ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
      PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)

2019 年使用 TPM 加密磁盘时需要明文密码?真的吗?那我为什么需要 TPM?

我尝试找到manage-bde解决方法,但没有成功。

有没有办法隐藏它或使其无法恢复(例如,当仅保存密码哈希而不是纯文本时)?

答案1

TPM 的作用(在本例中)是安全地保存解密密钥,以便系统可以自动启动而无需用户干预。系统只是提供了一种检索恢复密钥的方法(用于包括移除硬盘驱动器等恢复场景),但它以安全的方式进行。首先,它要求系统成功启动才能检索它(因此要经历解密过程),其次,它需要管理员访问权限。

相关内容