以某种方式,用户的机器无法从 TPM 芯片读取 bitlocker 密码,我必须输入恢复密钥(存储在 AD 中)才能进入。没什么大不了的,但是一旦进入机器,我尝试根据恢复文档暂停 bitlocker,并收到有关 TPM 未初始化的错误消息。我知道 TPM 已打开并在 BIOS 中激活,但 Windows 仍然让我重新初始化 TPM 芯片,并且在此过程中它创建了一个新的TPM 所有者密码。
我发现这很奇怪,因为它提示我保存或打印此密码(没有不这样做的选项),但它没有引用恢复密码,也没有将此密码备份到 AD。
用户拿起她的笔记本电脑离开后,我开始思考如果 TPM 密码更改,恢复密码是否也会更改?如果是这样,则需要将新的恢复密码上传到 AD,但 MS 的文档没有说明这一点,并且当组策略说明时不会自动将新的恢复密钥(如果存在)备份到 AD必须,并且从网络的角度来看,AD 是可访问的。
当 BitLocker 加密驱动器时,它会将主加密密钥保存在驱动器本身上,尽管不是纯文本形式。主密码由“保护者”自行加密。它们中的每一个都保留了主密钥的单独副本,因为只有加密它的保护者才能解密该主密钥的副本。
当您让 Windows 通过 GUI 加密卷时,它通常会创建两个保护程序:恢复密码 (RP) 和 TPM 密钥。如上所述,这些是完全分开存储的。如果您在每次创建 RP 时都配置了 GPO,它将存储在 AD 中。这是完全自动的,如果您配置了 GPO,则如果不上传到 AD,则无法将 RP 保存到磁盘(即,由于 AD 不可用,因此无法创建脱机 RP)。
我强烈建议放弃 GUI。对于系统管理员来说,它过于掩饰了BitLocker的功能,而BitLocker的实际操作确实没有那么复杂。CLI 实用程序
manage-bde随支持 BitLocker 的每个版本的 Windows 一起提供。这很简单,尽管语法有点冗长。要查看笔记本电脑的驱动器现在正在做什么,只需运行
manage-bde -status C:. 至于 TPM 问题,在解锁 PC 并启动 Windows 后,我总是运行manage-bde -protectors -get C:,复制 TPM 保护器的 ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied},最后manage-bde -protectors -add C: -tpm。工作时间增加了 30 秒,但你确切地知道它在做什么,以及你之后的确切位置。我知道这已经过时了,到这里来寻找其他东西,但根据我的经验,在进行这样的更改后自动上传到 AD 并不总是成功的。因为这个,我在工作中被咬了好几次。在第二次获得比特之后,我决定编写上传过程脚本以确保它发生,而不是依赖于应该发生的自动上传过程。这是我写的(BitLocker_UploadToAD.cmd):