不知怎么的,用户的机器无法从 TPM 芯片读取 bitlocker 密码,我必须输入恢复密钥(存储在 AD 中)才能进入。没什么大不了的,但一旦进入机器,我试图按照恢复文档暂停 bitlocker,并收到一条错误消息,提示 TPM 未初始化。我知道 TPM 已打开并在 BIOS 中激活,但 Windows 仍然让我重新初始化 TPM 芯片,在此过程中它创建了一个新的TPM 所有者密码。
我觉得这很奇怪,因为它提示我保存或打印此密码(没有不这样做的选项),但它没有提及恢复密码,也没有将此密码备份到 AD。
在用户带着笔记本电脑离开后,我开始想,如果 TPM 密码更改,恢复密码是否也会更改?如果是这样,则需要将新的恢复密码上传到 AD,但 MS 的文档没有明确说明这一点,并且当组策略要求必须备份新的恢复密钥(如果存在)时,不会自动将新恢复密钥备份到 AD,并且从网络角度来看 AD 是可访问的。
答案1
当 BitLocker 加密驱动器时,它会将主加密密钥保存在驱动器本身上,但不是纯文本形式。主密码由“保护者”加密。每个“保护者”都保存主密钥的单独副本,因为只有加密它的保护者才能解密主密钥的副本。
当您让 Windows 通过 GUI 加密卷时,它通常会创建两个保护器:恢复密码 (RP) 和 TPM 密钥。如上所述,它们完全分开存储。如果您在每次创建 RP 时都配置了 GPO,则它会存储在 AD 中。这是完全自动的,如果您配置了 GPO,则 RP 无法保存到磁盘,除非上传到 AD(即,无法离线创建 RP,因为 AD 不可用)。
我强烈建议放弃 GUI。它对系统管理员来说过于掩盖了 BitLocker 的功能,而 BitLocker 的实际操作真的没那么复杂。CLI 实用程序manage-bde随支持 BitLocker 的每个 Windows 版本提供。它非常简单,尽管语法有点冗长。
要查看笔记本电脑驱动器目前正在做什么,只需运行manage-bde -status C:。至于 TPM 问题,在解锁 PC 并启动 Windows 后,我总是运行manage-bde -protectors -get C:,复制 TPM 保护器的 ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied},最后运行manage-bde -protectors -add C: -tpm。这需要多花 30 秒的时间,但您确切地知道它在做什么,以及您之后的确切情况。
答案2
我知道这已经过时了,我来这里是为了寻找其他东西,但根据我的经验,在发生这样的变化后,自动上传到 AD 并不总是成功的。我因为这个在工作中被坑过好几次。在第二次被坑后,我决定编写上传过程脚本以确保它能够发生,而不是依赖于应该发生的自动上传过程。这是我写的 (BitLocker_UploadToAD.cmd):
@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE