题 TPM必须重新实现:是否必须将新的恢复密码上传到AD?


某些方式如何,用户的机器无法读取TPM芯片的bitlocker密码,我必须输入恢复密钥(存储在AD中)才能进入。没什么大不了的,但一旦进入机器,我尝试暂停每个恢复文档的bitlocker,并收到有关TPM未初始化的错误消息。我知道TPM已在BIOS中启动并激活,但Windows仍然让我重新初始化TPM芯片,并在此过程中创建了一个  TPM所有者密码。

我发现这很奇怪,因为它促使我​​保存这个密码或打印它(没有选项没有),但它没有提供恢复密码,也没有将此密码备份到AD。

用户拿走笔记本电脑后离开我开始认为如果TPM密码发生变化,恢复密码是否也会改变?如果是这样,则需要将新的恢复密码上传到AD,但是MS的文档没有说清楚,并且在组策略说明时不会自动将新的恢复密钥(如果存在)备份到AD必须,从网络角度来看,AD是可访问的。


8
2017-11-08 14:31






答案:


当BitLocker加密驱动器时,它会将主加密密钥保留在驱动器本身上,但不是纯文本。主密码由“Protectors”自行加密。其中每个都保留了主密钥的单独副本,因为只有加密它的保护器才能解密主密钥的副本。

当Windows通过GUI加密卷时,它通常会创建两个保护程序:恢复密码(RP)和TPM密钥。如上所述,它们完全分开存放。如果每次创建RP时都配置了GPO,则它将存储在AD中。这是完全自动的,如果您配置了GPO,则无法将RP保存到磁盘而不上载到AD(即,无法创建脱机RP,因为AD不可用)。

一世 强烈建议 放弃GUI。它为系统管理员和BitLocker的实际操作掩盖了BitLocker的功能  并不复杂。 CLI实用程序 manage-bde 随每个支持BitLocker的Windows版本一起提供。这很简单,虽然语法有点冗长。

要查看笔记本电脑的驱动器现在正在做什么,只需运行即可 manage-bde -status C:。至于TPM问题,在解锁PC并启动Windows后,我总是运行 manage-bde -protectors -get C:,复制TPM保护器的ID(包括括号),然后运行 manage-bde -protectors -delete C: -id {the_id_you_copied} 最后 manage-bde -protectors -add C: -tpm。这是30秒的工作量,但你确切知道它在做什么,以及你后来的确切位置。


10
2017-11-08 14:56



完善。我熟悉manage-bde,但由于我们仍然在我们的环境中推出了bitlocker,它在这里仍然很新,我不认为使用它。我已经进行了设置,以便在我们的新机器上启用tpm并在成像过程中启用bitlocker(sccm),直到此时我们已经有很少的机器需要手动解锁。 - MDMoore313
这一切现在都回到我身边:保护器存储在TPM密钥上,用于解密存储在(我猜测)引导加载程序上的主密码,如果无法访问,则必须输入恢复密钥才能解密主密钥,但主密钥本身不存储在TPM芯片上。这是它的主旨吗? - MDMoore313
是的,就是这样。我必须解锁一台机器是非常罕见的(大多数情况下只是开发人员搞乱他们不应该的设置)。当人们在他们的机器中留下可启动的USB记忆棒时,我会半频繁地接听电话,TPM对这类新的可启动媒体感到焦虑(一旦TPM生气,你必须完全断电或者它会保持生气)。 - Chris S
是的,她是一个修补匠,但我们已经开始使用BIOS密码来防止那种“重置为默认”的事情发生(可能不是这里的情况,但仍然),这将对我们的环境造成严重破坏。 - MDMoore313
我们使用HP笔记本电脑并更新BIOS(如有必要),并在使用HPQflash实用程序(在您从中获取的BIOS软件包中)和bcu(使用BIOS软件包)对笔记本电脑进行映像时,为其添加“标准”配置(包括公司徽标和密码)。 BIOS配置实用程序)。如果戴尔没有类似的话,我会感到惊讶。 - Chris S


我知道这是旧的,在这里寻找其他东西,但根据我的经验,在这样的改变后自动上传到AD并不总是成功。因为这个原因,我多次被咬了。在第二次获得位之后,我决定编写上传过程的脚本以确保它发生,而不是依赖于应该发生的自动上传过程。这是我写的(BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE

2
2018-02-10 16:36



重置,上传,然后将其拉回以确保更改。听起来不错,+1。哦,等等:你不要把它拉下来?没有powershell?你可以用powershell实现完整的循环。 - MDMoore313