这篇文章更多的是为了寻求理解而不是解决方案。
目前我正在运行 Windows 11(最新 22H2 版本),并启用了 BitLocker 并使用初始 PIN 登录。
最近我的桌面出现了一些问题Sleep(不同的问题),所以我决定更新我的 BIOS 来看看是否能解决问题。WakeCrash
更新 BIOS 并重新启动后,系统将我带到 PIN 登录以解锁 BitLocker。我输入了我通常使用的 PIN,但显示不正确。我又试了好几次,确保输入速度慢,以免输入错误的数字。我也尝试使用键盘,但都失败了。我最终不得不使用恢复密钥来解锁驱动器并登录 Windows。但在我使用恢复密钥进入 Windows 并再次重新启动后,我的旧 PIN 又能用了。
我在网上搜索了一下,这似乎是一个常见问题(功能?)
我想我的问题是,为什么我的 PIN 在 BIOS 更新后最初不起作用,但后来又起作用了?(我假设它与 TPM 有关?)
答案1
Bitlocker其实有两个功能:
加密连接到计算机的存储卷,包括硬盘等
确保启动过程的完整性—确保 BitLocker 不会被诱骗将加密密钥传递给恶意操作系统。
在具有可信平台模块的系统上,BitLocker 加密密钥使用仅在启动过程与预期值匹配时才可使用的密钥安全地存储在 TPM 中。启动过程使用 BIOS 固件和配置以及 Windows 启动管理器进行测量。如果其中任何一个被修改,则启动测量将不再与 TPM 预期的值匹配。TPM 将拒绝提供您的 BitLocker 密钥,您必须使用 BitLocker 恢复来恢复对系统的访问。
默认情况下,bitlocker 仅使用 TPM 进行保护。这可以防止多种攻击,并且如果 TPM 验证成功,则启动过程不会改变,因此这是最方便的选项。
除了 TPM 之外,您还可以选择使用启动密钥或 PIN(或两者)——这些选项比仅使用 TPM 稍微不那么方便,但它们可以防御比仅使用 TPM 更复杂的攻击。
就你的情况来说,当你升级 BIOS 版本时,你修改了启动过程,并且 TPM 拒绝解锁你的 bitlocker 密钥—即使输入了正确的 PIN 码。
进一步阅读:
- Windows 如何使用 TPM:Bitlocker 驱动器加密:https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm#bitlocker-drive-encryption
- Bitlocker 对策:预启动身份验证:https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures#security-policies
答案2
这是一个典型的场景。在重新启动之前,BitLocker 处于暂停状态。更新完成后,它将恢复。这可以通过 manage-bde 命令和其他方式进行控制。
如果没有这个,您将会遇到因签名改变而带来的挑战。