以某种方式,用户的计算机无法从TPM芯片上读取位锁密码,因此我必须输入恢复密钥(存储在AD中)才能进入。没什么大不了的,但是一旦进入计算机,我尝试根据恢复文档挂起bitlocker,并收到有关未初始化TPM的错误消息。我知道TPM已启动并已在BIOS中激活,但是Windows仍然让我重新初始化TPM芯片,并在此过程中创建了新的 TPM所有者密码。
我发现这很奇怪,因为它提示我保存或打印该密码(没有选择不要这样做),但是它没有引用恢复密码,也没有将此密码备份到AD。
用户拿起笔记本电脑离开后,我开始思考如果TPM密码更改了,恢复密码也会更改吗?如果是这样,则需要将新的恢复密码上载到AD,但是MS的文档没有明确说明,并且当组策略说新的恢复密钥(如果存在)时,不会自动将新的恢复密钥备份到AD。必须,并且从网络角度来看,AD是可访问的。
Answers:
当BitLocker加密驱动器时,它将主加密密钥保留在驱动器本身上,尽管不是纯文本形式。主密码本身通过“保护器”进行加密。它们中的每一个都保留主密钥的单独副本,因为只有对其加密的保护者才能解密该主密钥的副本。
Windows使您通过GUI加密卷时,它通常会创建两个保护器:恢复密码(RP)和TPM密钥。如上所述,它们完全分开存储。如果您在每次创建RP时都配置了GPO,则它将存储在AD中。这是完全自动的,如果您配置了GPO,则无法在不上传到AD的情况下将RP保存到磁盘(即,由于AD将不可用,因此无法创建离线RP)。
我强烈建议您放弃GUI。对于系统管理员来说,它掩盖了BitLocker的功能,而BitLocker的实际操作实际上并不那么复杂。CLI实用程序manage-bde随支持BitLocker的Windows的每个版本一起提供。尽管语法有点冗长,但是这很简单。
要查看笔记本电脑的驱动器现在正在做什么,只需运行即可manage-bde -status C:。对于TPM问题,在解锁PC并启动Windows之后,我将一直运行manage-bde -protectors -get C:,然后复制TPM保护器的ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied}并最终运行manage-bde -protectors -add C: -tpm。工作多了30秒,但您确切知道它在做什么,以及之后的位置。
我知道这已经很老了,到这里来找别的东西,但是根据我的经验,像这样的更改后自动上传到AD并不总是成功。因此,我被工作上多次咬伤了。在第二次接触之后,我决定编写脚本来确保上载过程发生,而不是依赖应该执行的自动上载过程。这是我写的(BitLocker_UploadToAD.cmd):
@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE