A limpeza do TPM tornará os dados criptografados do BitLocker indisponíveis?

Navegue suas respostas
7

Eu aprendi em esta resposta que, começando com o Windows 10 v1607, o Windows não permitirá definir, salvar ou altere a senha do proprietário do TPM por padrão. Portanto, a opção de redefinir um bloqueio do TPM inserindo a senha do proprietário parece não existir mais.

AalternativaélimparoTPM.Ocenárioaseguir:

  • BitLockerativadocomTPM+PIN
  • PINerradoinserido>256vezesdurantealgumtempo
  • agoraoTPMnuncapermitemaisdeumatentativadePINantesdeentrarnobloqueioporváriosminutos
  • duranteobloqueiodoTPM,achavederecuperaçãopodeserusadaparaacessarosistema

ÉsegurolimparoTPMpararedefinirocontadordetentativasincorretasdePIN?OsdadoscriptografadosdoBitLockerserãoperdidos?Ateladeavisopareceséria(abaixo).

Comomencionado,achavederecuperaçãoestádisponível.Noentanto,euqueroevitarterqueinseri-lotodavezqueeuinicializoocomputador.

    
por Frank Seifert 25.11.2016 / 20:31

2 respostas

8

tl; dr:

Is it safe to clear the TPM to reset the counter of wrong PIN attempts?

Somente se você tiver a chave de recuperação do BitLocker. Se você limpar o TPM, a unidade criptografada só estará acessível usando a chave de recuperação.

Portanto, no seu caso, não há problema em limpar o chip TPM. Depois, reinicie e insira a chave de recuperação. Uma vez dentro do Windows, você pode reativar o chip do TPM e definir um novo PIN.

Explicação mais longa:

O BitLocker normalmente (veja a exceção abaixo) usa o chip TPM do computador para armazenar a chave necessária para descriptografar a unidade de inicialização. Se o chip do TPM estiver desmarcado, essa chave será perdida (para sempre). Nesse caso, a única maneira de descriptografar a unidade é usar a chave de recuperação do BitLocker - ela existe especificamente para casos como esse.

Na prática, se você inicializar a partir de uma unidade criptografada com o BitLocker e o Windows achar que não pode recuperar as chaves do chip TPM, ele solicitará a chave de recuperação. Você terá um preto feio & tela branca pedindo a chave. Se você digitar a chave certa, o Windows inicializará normalmente. Se você não pode digitar a chave - má sorte.

Para obter mais informações sobre como o BitLocker funciona, consulte também esta pergunta em serverfault.com: O TPM tinha ser reintegrado: uma nova senha de recuperação precisa ser enviada para o AD?

Nota:

É possível usar o BitLocker sem o TPM, embora a opção precise ser ativada primeiro. Nesse caso, a limpeza do TPM não fará diferença. No entanto, parece que você está usando o BitLocker com o TMP, portanto, isso não se aplica ao seu caso.

    
por 26.11.2016 / 00:01
3

Sim, o TPM pode ser limpo com segurança quando a chave de recuperação está disponível. Em apoio adicional à resposta de @ sleske, aqui estão trechos de artigo da Technet sobre o Bitlocker recuperação .

What causes BitLocker recovery?

The following list provides examples of specific events that will cause BitLocker to enter recovery mode when attempting to start the operating system drive:

  • Turning off, disabling, deactivating, or clearing the TPM.

What is BitLocker recovery?

BitLocker recovery is the process by which you can restore access to a BitLocker-protected drive in the event that you cannot unlock the drive normally. In a recovery scenario you have the following options to restore access to the drive:

  • The user can supply the recovery password. If your organization allows users to print or store recovery passwords, the user can type in the 48-digit recovery password that they printed or stored on a USB drive or with your Microsoft Account online.

    
por 26.11.2016 / 20:30

Tags

FreeBSD 9: Como localizar um nome de arquivo exato? É possível atualizar a placa gráfica em laptops modernos?