某种方式,一个用户的机器无法读取TPM芯片的bitlocker密码,我不得不input恢复密钥(存储在AD)进入。没有什么大不了的,但一旦在机器中,我试图暂停每个恢复文档的BitLocker,并获得有关未被初始化TPM的错误消息。 我知道TPM已经启动,并在BIOS中激活,但Windows仍然使我重新初始化TPM芯片,并在此过程中创build了一个新的 TPM所有者密码。 我发现这很奇怪,因为它促使我保存这个密码或者打印它(没有选项),但是没有提及恢复密码,也没有将这个密码恢复到AD。 用户拿走笔记本电脑后,我开始考虑如果TPM密码更改,恢复密码是否也会更改? 如果是这样,新的恢复密码将需要上传到AD,但MS的文档没有说清楚,并且不会将新的恢复密钥(如果存在的话)备份到AD,当组策略说明它自动必须,而且从networkingangular度来看,AD是可访问的。
我在组策略中configuration了BitLocker和TPM设置,以便设置所有选项,并将恢复密钥存储在Active Directory中。 我们所有的机器都运行带有标准企业镜像的Windows 7,并且在BIOS中启用并激活了TPM芯片。 我的目标是让所有的用户必须做的是点击启用BitLocker,然后离开它。 微软甚至提供可以通过脚本部署的自动化样本。 但是,让这个过程顺利进行是一个小小的呃。 在GUI中,当用户启用BitLocker时,必须使用自动生成的所有者密码初始化TPM。 但是,恢复密码显示给用户,并提示他们将其保存到文本文件。 我似乎无法压制这个对话框,这个步骤不能被跳过。 当密钥成功备份到AD时,这是一个不需要的(不必要的)提示。 如果我编写部署脚本,则必须在初始化TPM时在脚本中提供所有者密码,并且希望它以GUI的方式随机生成。 有没有办法使BitLocker部署真正地按照我所需的方式进行零接触?
我正在运行Windows 7 RTM,并有两个物理驱动器BitLockered。 因为我的机器有一个TPM,所以打开时它会启动所有非常好的。 但是,如果我在开机的时候被我的密码挑战,我的雇主会更喜欢。 我已经find这篇文章:http: //4sysops.com/archives/review-windows-7-bitlocker/告诉我哪些组策略标志设置让BitLocker在启动时挑战PIN。 我无法find的是如何设置这个PIN,因为系统已经被encryption了? 我也遇到http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx,并且很好奇,知道哪些这些build议是安全的适用于已经encryption的系统?