我有一个使用 Bitlocker 加密的操作系统驱动器,通过组策略设置为在启动时需要 TPM 和 PIN。第二个驱动器与系统驱动器一起自动解锁。今天,我注意到当我通过 USB 启动到 WinPE 环境时,虽然第二个驱动器已正确锁定,但系统驱动器已解锁。从该 USB 启动时,我当然不需要输入 PIN。
这是预期的行为吗?如果是,我该如何让驱动器仅使用 PIN 解锁?
更新:答案如下用户1686. 附加信息:Macrium Reflect 将外部密钥存储在 WinPE USB 驱动器上。
答案1
它根本不应该是 TPM,因为该密钥被密封,以至于当启动过程的任何部分发生变化时,它就无法访问。(这就是基于 TPM 解锁的整个想法:无论是否使用 PIN,密钥都不会透露给除“真实”操作系统加载程序之外的任何人。)
我猜测磁盘是使用外部密钥即<uuid>.bek存储在同一 USB 记忆棒上的文件。如果当 Windows 询问是否存储恢复密钥时您已连接 WinPE 记忆棒,则可实现此操作。
答案2
我今天遇到了这个问题,花了一天的大部分时间担心我的 BitLocker 启用卷设置不正确,并测试了各种方案。我甚至将 BitLocker 设置为需要增强型 PIN(密码),但 Macrium WinPE USB 驱动器仍然能够自动解锁该卷。我在另一台 BitLocker 加密的笔记本电脑上测试了 Macrium WinPE USB 驱动器,它无法访问该卷,因此我谷歌搜索了“Macrium Reflect BitLocker”并找到了答案。令人害怕的是,默认选项是“自动解锁 BitLocker 卷”,但没有大红字警告让您知道 WinPE USB 驱动器应该得到妥善保护,因为它上面有 BitLocker 解密密钥!提到这一点的 Macrium KB 如下。现在我知道了这一点,我也学会了如何在我的 BitLocker 卷上强制使用 PIN + TPM。 https://knowledgebase.macrium.com/display/KNOW72/Adding+BitLocker+support+to+Windows+PE