TPM phải được giới thiệu lại: Mật khẩu khôi phục mới có phải được tải lên AD không?

8

Bằng cách nào đó, máy của người dùng không thể đọc được mật khẩu bitlocker của chip TPM và tôi phải nhập khóa khôi phục (được lưu trong AD) để vào. Không vấn đề gì, nhưng một lần vào máy, tôi đã cố gắng tạm dừng bitlocker trên mỗi tài liệu khôi phục và nhận được thông báo lỗi về TPM không được khởi tạo. Tôi biết TPM đã được bật và kích hoạt trong BIOS, nhưng Windows vẫn khiến tôi xác định lại chip TPM và trong quá trình đó, nó đã tạo ra mật khẩu chủ sở hữu TPM mới .

Tôi thấy điều đó thật kỳ quặc bởi vì nó đã nhắc tôi lưu mật khẩu này hoặc in nó (không có tùy chọn nào không), nhưng nó không tham chiếu mật khẩu khôi phục, cũng không gửi lại mật khẩu này cho AD.

Sau khi người dùng lấy laptop của cô ấy và rời đi, tôi bắt đầu nghĩ rằng nếu mật khẩu TPM thay đổi, liệu mật khẩu phục hồi cũng thay đổi? Nếu vậy, mật khẩu khôi phục mới đó sẽ cần phải được tải lên AD, nhưng tài liệu của MS không làm rõ điều đó và không tự động sao lưu khóa khôi phục mới (nếu có) để AD tự động khi chính sách nhóm nói phải, và từ quan điểm mạng AD có thể truy cập được.

bitlocker  tpm 
MDMoreore313
nguồn

Câu trả lời:

11

Khi BitLocker mã hóa ổ đĩa, nó sẽ giữ khóa mã hóa chính trên ổ đĩa, mặc dù không ở dạng văn bản thuần túy. Mật khẩu chủ được giữ tự mã hóa bởi "Người bảo vệ". Mỗi trong số này giữ một bản sao riêng của khóa chính vì chỉ người bảo vệ đã mã hóa nó mới có thể giải mã được bản sao đó của khóa chính.

Khi bạn có Windows mã hóa một ổ đĩa thông qua GUI, nó thường tạo ra hai bộ bảo vệ: Mật khẩu khôi phục (RP) và khóa TPM. Như đã lưu ý ở trên, chúng được lưu trữ hoàn toàn riêng biệt. Nếu bạn đã cấu hình GPO mỗi lần tạo RP, nó sẽ được lưu trong AD. Điều này là hoàn toàn tự động và nếu bạn có GPO được cấu hình, RP không thể được lưu vào đĩa mà không tải lên AD (nghĩa là không có tạo RP ngoại tuyến vì AD sẽ không khả dụng).

Tôi thực sự khuyên bạn nên bỏ GUI. Nó che đậy chức năng của BitLocker quá nhiều đối với người quản trị hệ thống và hoạt động thực tế của BitLocker thực sự không quá phức tạp. Tiện ích CLI manage-bdeđi kèm với mọi phiên bản Windows hỗ trợ BitLocker. Nó khá thẳng về phía trước, mặc dù cú pháp hơi dài dòng.

Để xem những gì ổ đĩa của máy tính xách tay đang làm ngay bây giờ chỉ cần chạy manage-bde -status C:. Đối với các sự cố TPM, sau khi mở khóa PC và khởi động Windows tôi luôn chạy manage-bde -protectors -get C:, sao chép ID cho trình bảo vệ TPM (bao gồm cả dấu ngoặc), sau đó chạy manage-bde -protectors -delete C: -id {the_id_you_copied}và cuối cùng manage-bde -protectors -add C: -tpm. Đó là 30 giây làm việc nữa, nhưng bạn biết chính xác những gì nó đang làm và chính xác nơi bạn đứng sau đó.

Chris S
nguồn
Hoàn hảo. Tôi quen thuộc với Manage-bde, nhưng vì chúng tôi vẫn đang triển khai bitlocker trong môi trường của mình, nên nó vẫn còn khá mới ở đây và tôi không nghĩ sẽ sử dụng nó. Tôi đã thiết lập nó để trên các máy mới của chúng tôi, chúng tôi kích hoạt tpm và bật bitlocker trong quá trình tạo ảnh của chúng tôi (sccm), cho đến thời điểm này, chúng tôi đã có vài máy cần được mở khóa thủ công.
MDMoore313
Bây giờ tất cả đã trở lại với tôi: một bộ bảo vệ được lưu trữ trên khóa TPM để giải mã mật khẩu chính được lưu trữ trên bộ tải khởi động (tôi đoán) và nếu không thể truy cập được thì phải khôi phục khóa khôi phục để giải mã khóa chính, nhưng bản thân khóa chính không được lưu trữ trên chip TPM. Đó có phải là ý chính của nó?
MDMoore313
1
Đúng, đó là nó. Thật hiếm khi tôi phải mở khóa máy (chủ yếu chỉ là các nhà phát triển rối tung với các cài đặt mà họ không nên làm). Tôi nhận được các cuộc gọi bán thường xuyên khi mọi người để lại các thanh USB có thể khởi động trong máy của họ, TPM rất cảm động về phương tiện có thể khởi động mới như thế (và một khi TPM tức giận, bạn phải tắt nguồn hoàn toàn hoặc nó sẽ bị tức giận).
Chris S
Vâng, cô ấy là một người thích mày mò, nhưng chúng tôi đã bắt đầu sử dụng mật khẩu BIOS để ngăn điều đó xảy ra 'đặt lại về mặc định' (có thể không xảy ra ở đây nhưng vẫn vậy), điều này sẽ tàn phá môi trường của chúng tôi.
MDMoore313
1
Chúng tôi sử dụng máy tính xách tay HP và cập nhật BIOS (nếu cần) và flash cấu hình "tiêu chuẩn" (bao gồm logo và mật khẩu của công ty) cho máy tính xách tay khi sử dụng tiện ích HPQflash (trong các gói BIOS bạn nhận được từ chúng) và bcu ( Tiện ích cấu hình BIOS). Tôi sẽ ngạc nhiên nếu Dell không có cái gì đó tương tự.
Chris S
3

Tôi biết điều này đã cũ, đã đến đây để tìm kiếm thứ gì đó khác, nhưng theo kinh nghiệm của tôi, việc tự động tải lên AD sau khi thay đổi như thế không phải lúc nào cũng thành công. Tôi đã bị cắn tại nơi làm việc nhiều lần vì điều này. Sau lần thứ 2 nhận được bit, tôi quyết định kịch bản quá trình tải lên để đảm bảo nó xảy ra thay vì phụ thuộc vào quá trình tải lên tự động được cho là xảy ra. Đây là những gì tôi đã viết (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE
Ryan Cheesman
nguồn
Đặt lại, tải lên, sau đó kéo nó xuống để đảm bảo nó đã được thay đổi. Âm thanh tốt, +1. Oh, đợi đã: bạn không kéo nó xuống? Không có quyền hạn? Bạn có thể có thể thực hiện chu trình đầy đủ với powershell.
MDMoore313
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.