BitLocker 和双启动

BitLocker 和双启动

我在我的计算机上安装了 Ubuntu 21.04 和 Windows 10,并启用了 BitLocker 加密(坦率地说,我甚至不知道默认情况下启用了这种加密)。这把事情搞砸了。我既没有恢复密钥,也没有 Microsoft 帐户。是否可以通过删除 Ubuntu 及其引导加载程序来修复它?

答案1

如果 Windows 最初启用了安全启动,请确保它仍然启用。

然后选择 Windows从固件启动菜单– 不是从 Ubuntu GRUB 菜单。也不要进入固件设置屏幕,只需按 F11 或 F12(或其他适当的键)即可访问启动菜单,然后从那里选择“Windows 启动管理器”。

安全启动 (0、7、11) 的默认 BitLocker PCR 绑定配置文件依赖于有关启动过程中涉及哪些 SB 签名证书的信息,即它要求所有 .efi 文件都由 Microsoft 的“Windows”证书签名,而 Ubuntu 的引导加载程序则不需要。如果您在选择 Windows 之前先通过 GRUB,则会导致 TPM 启动日志不同,并且无法解封 BitLocker 密钥。

(此外,PCR 7 跟踪哪些证书进口进入安全启动的“受信任”和“撤销”db列表dbx,但在您的情况下,这些可能没有改变。)

非安全启动配置文件(0、2、4、11)会匹配自开机以来执行的每个 .efi 二进制文件的特定哈希值,因此,如果 GRUB 在 Windows 启动管理器之前运行,则会再次导致 TPM 事件日志出现差异。

仅仅在场只要 Windows 启动不经过它,启动菜单中的 Ubuntu 就不会引起问题(这是 PCR 1,不属于任何一个配置文件的一部分)。

相关内容