当我尝试加密非操作系统分区时,“自动解锁此驱动器”选项显示为灰色。我的笔记本在域中,Bitlocker 驱动器加密向导显示这些设置由全局策略管理。好的,我会要求系统管理员更改策略。但是什么政策呢?
当我加密数据驱动器并尝试启用自动解锁时,出现此错误:
PS> Enable-BitLockerAutoUnlock -MountPoint "X:"
Enable-BitLockerAutoUnlock : Group Policy settings do not permit the creation of a recovery key.
(Exception from HRESULT: 0x8031005E)
此错误描述这里COM 错误代码和这里在 SafeGuard 文档中::
FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED 0x8031005E 组策略设置不允许创建恢复密钥。
0x8031005E 未设置无 TPM 加密的组策略。请启用组策略“启动时需要额外的身份验证”,并在其中选中“允许无兼容 TPM 的 BitLocker”复选框。
我的笔记本是联想 P52,它有 TPM 2.0。当我尝试在数据驱动器上强制执行 TPM 时,出现此错误:
> manage-bde -protectors -add x: -TPM
ERROR: Only the OS volume may be secured with the TPM.
我听说 TPM 不能用于数据驱动器,但在任何文档中都找不到此限制。相反,在论坛我发现
“只有操作系统卷可以通过 TPM 进行保护”,我认为这是不正确的...
问:那么,为了能够打开数据驱动器上的自动解锁功能,需要修改哪些全局策略?是“允许没有兼容 TPM 的 BitLocker”吗?(这很奇怪,因为数据驱动器可以加密,但自动解锁不起作用。)
答案1
“只有操作系统卷可以通过 TPM 进行保护”,我认为这是不正确的...
您引用的论坛帖子听起来就像是从 TechNet 文档中直接复制粘贴的,并没有考虑到这是一个 BitLocker 错误消息,而不仅仅是关于磁盘加密的一般性陈述。
当然可以技术上对任何磁盘使用 TPM……但这并不意味着BitLocker因为它被编程为允许您将 TPM 用于任何磁盘。如果 Windows 附带的标准 BitLocker 工具说您不能这样做,那么就意味着您不能这样做。
实际上,我猜 BitLocker 故意拒绝这种组合,因为数据磁盘不能保证始终存在,但 TPM 密封的密钥通常必须在 Windows 更新期间重新密封(以匹配更新的系统状态)。如果在数据磁盘断开连接时发生操作系统更新,您通常最终需要使用恢复密钥。(如果 GPO 不允许您这样做,会发生什么情况?有恢复密钥?
这并不意味着您不能自动解锁数据磁盘……它只是意味着自动解锁数据在软件级别受到操作系统的保护,而根本不使用 TPM。
那么数据磁盘的自动解锁究竟是如何工作的呢?它的工作原理是添加一个“外部密钥”保护器(然后将其存储在<GUID>.BEK操作系统卷内的文件中)–这实际上被归类为“恢复密钥”保护器,因为当您选择“将恢复密钥存储在 USB 驱动器上”时使用相同的类型。
这意味着必须将组策略“BitLocker \ 固定数据驱动器 \ 选择如何恢复受 BitLocker 保护的固定驱动器”设置为允许创建“256 位恢复密钥”文件。
