某种方式,一个用户的机器无法读取TPM芯片的bitlocker密码,我不得不input恢复密钥(存储在AD)进入。没有什么大不了的,但一旦在机器中,我试图暂停每个恢复文档的BitLocker,并获得有关未被初始化TPM的错误消息。 我知道TPM已经启动,并在BIOS中激活,但Windows仍然使我重新初始化TPM芯片,并在此过程中创build了一个新的 TPM所有者密码。
我发现这很奇怪,因为它促使我保存这个密码或者打印它(没有选项),但是没有提及恢复密码,也没有将这个密码恢复到AD。
用户拿走笔记本电脑后,我开始考虑如果TPM密码更改,恢复密码是否也会更改? 如果是这样,新的恢复密码将需要上传到AD,但MS的文档没有说清楚,并且不会将新的恢复密钥(如果存在的话)备份到AD,当组策略说明它自动必须,而且从networkingangular度来看,AD是可访问的。
当BitLocker对驱动器进行encryption时,它会在驱动器上保留主encryption密钥,但不能以纯文本格式。 主密码由“Protectors”保存。 其中每一个都保留主密钥的单独副本,因为只有对其进行encryption的保护器才能解密主密钥的副本。
当Windows通过GUIencryption卷时,通常会创build两个保护器:恢复密码(RP)和TPM密钥。 如上所述,这些完全分开存储。 如果每次创buildRP时都configuration了GPO,则会将其存储在AD中。 这是完全自动的,如果您configuration了GPO,则无法将上传到AD的RP(例如,由于无法使用AD而无法创build脱机RP)无法保存到磁盘。
我强烈build议放弃GUI。 它对系统pipe理员来说太过于掩盖了BitLocker的function,BitLocker的实际操作并不那么复杂。 CLI实用程序manage-bde随每个支持BitLocker的Windows版本提供。 这很简单,虽然语法有点冗长。
要查看笔记本电脑的驱动器,现在只需运行manage-bde -status C: 至于TPM问题,在解锁PC和启动Windows之后,我总是运行manage-bde -protectors -get C:复制TPM保护器的ID(包括括号),然后运行manage-bde -protectors -delete C: -id {the_id_you_copied} ,最后manage-bde -protectors -add C: -tpm 。 还有30秒多的工作,但是你确切知道它在做什么,以及你究竟站在哪里。
我知道这是旧的,到这里寻找其他的东西,但以我的经验,这样的变化后自动上传到AD并不总是成功。 因为这个,我几次被困在工作中。 在第二次获得位之后,我决定编写上传过程的脚本,以确保它发生,而不是取决于应该发生的automagic上传过程。 这是我写的(BitLocker_UploadToAD.cmd):
@Echo Off cls SETLOCAL for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a ECHO ID FOR DRIVE C IS: %ID% ECHO. ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING... ECHO. set ID=-%ID::=% ECHO NEW VALUE: ECHO %ID% ECHO. ECHO BACKING UP TO AD... c:\windows\system32\manage-bde -protectors -adbackup c: %ID% ECHO. ECHO DONE (PLEASE CHECK AD TO VERIFY IT WORKED) PAUSE