收到启用固件 TPM 的警告

首先，正如引用的文字所提到的，请注意同一系统卷可以添加多个解密密钥。除了受 TPM 保护的密钥外，系统卷通常还有一个数字恢复密钥。

只要您记下恢复密钥，您就可以随时使用它来解锁卷 - 即使 TPM 已更改或拒绝执行该工作，或者即使您正在通过 Linux 访问它，或者即使磁盘完全移动到另一台计算机。

（如果您拥有 Windows Pro 并使用完整版的 BitLocker（与 Windows Home 所具有的简化的“设备加密”功能相反），您可能已经看到它还支持 USB 存储的密钥文件甚至普通密码。每个那些“保护者”完全独立于其余部分，只有那些在其名称中实际提到“TPM”的部分才依赖于​​ TPM——其余部分将在没有的情况下继续工作。）

由于我从不想启用 BitLocker 并且我只启用了 TPM，以便将来可以升级到 Windows 11，因此对于我的情况可以忽略此警告吗？

是的 – 如果您确定 BitLocker 也没有自动启用。

（如果您之前没有 TPM，那么很可能没有，因为自动“设备加密”功能需要 TPM——但仔细检查，例如使用manage-bde -status c:.）

请注意，TPM 可用于 BitLocker 以外的其他用途，因此清除其数据可能会断开计算机与 Azure AD 或 Windows Hello for Business 的连接，或丢失某些第三方应用程序中的许可证激活。但是，如果您之前没有启用 TPM，那么您无论如何都不会使用任何这些功能。

这个“英特尔 ME 数据区域”将位于何处？这听起来不像是我可以使用 Windows 资源管理器获得的东西。

它是 CPU 内部的闪存区域。操作系统根本无法直接访问它（就像它无法直接访问真实 TPM 的内存，甚至无法直接访问存储固件设置的 NVRAM）。

另外，“固件 TPM 密钥”是做什么用的？

它是保护 TPM 管理的所有其他数据的“根”加密密钥。

其他数据（例如您的 BitLocker 密钥）不存储在TPM 本身中 - 它只有非常少量的安全闪存，仅够存储 3-4 个加密密钥。其他一切都返回给操作系统，只是使用“根”密钥加密，这样只有 TPM 本身才能解密它。（所以 BitLocker TPM 保护器实际上存储在磁盘本身上。）

这给出了 TPM 具有几乎无限存储的错觉（通过让操作系统自动将东西进出 TPM 的 RAM），同时还允许立即“清除”该存储（通过破坏根密钥）。

关于“何时更换 BIOS ROM 芯片”是否意味着开启 BitLocker 的用户在更换 BIOS ROM 芯片前应先将其关闭？

是的，或者他们应该暂停BitLocker——而不是解密所有数据，这只是将主解密密钥存储在磁盘上，没有任何保护。（当 BitLocker “恢复”时，它会擦除​​该密钥。）以这种方式暂停加密非常快，而完全禁用 BitLocker 和解密 TB 大小的磁盘可能需要几个小时。

但是，他们还应该记下恢复密钥。忽略报价中的错误“或”——知道恢复密钥使您完全独立于 TPM 或任何其他系统硬件。

如果是这样，如果他们在关闭 BitLocker 之前错误地更换了 BIOS ROM 芯片会发生什么？他们可以直接放回旧的 BIOS ROM 芯片并关闭 BitLocker，还是他们只是永久加密他们的系统？

不确定，因为实际上有两件事在起作用：fTPM 使用的根加密密钥，以及所有 TPM 完成的系统状态测量。

首先，即使使用离散的 TPM，Windows 使用的“密封”过程也会故意将 BitLocker 密钥绑定到系统状态的某些位。例如，从 U 盘启动或禁用安全启动将使 TPM 拒绝解封密钥，因为系统状态已更改。但这不会破坏任何东西，并且恢复到原始设置将允许密钥再次启封。

但是，对于 fTPM，它是实际保存用于密封的实际根加密密钥的固件。它最有可能在 CPU 中，而不是在“BIOS ROM”中，但改变事物可能会导致固件完全重置 fTPM，从而使所有以前密封的数据无法恢复。