Usando o Bitlocker + TPM HD protegido, permita a inicialização de mídia alternativa (CD / USB)

Nossa empresa está permitindo que o Bitlocker se envolva com o TPM em nossos laptops (Lenovo T430s) com o Win 7 Enterprise.

Essa configuração funcionará bem para 98% da equipe da empresa sem problemas, mas criou um problema para minha equipe, já que ocasionalmente usamos distros de DVD / thumbdrive inicializáveis para ferramentas de segurança. Esperamos usar essas distros autônomas, portanto, o acesso aos HD / volumes protegidos pelo Bitlocker não é necessário ou esperado.

Na inicialização a frio, ainda podemos acessar o menu de inicialização alternativo via F12. A lista de inicialização alternativa lista explicitamente a mídia inserida (por exemplo, o fornecedor específico do pendrive inserido).

No entanto, após a seleção, enquanto a mídia parece ser acessos, ela NÃO inicializa e retorna diretamente ao menu após um momento. [Em outras palavras, ele se comporta como mídia não foi inicializável real.] Os DVDs / thdrdrives são conhecidos por serem bons e, de fato, inicializarão um dispositivo idêntico desprotegido.

Além disso, uma vez que isso seja tentado, o sistema detecta uma "mudança de inicialização" que coloca o dispositivo no estado que requer a senha de recuperação numérica do Bitlocker.

A equipe que administra o lançamento do Bitlocker é indiferente. Eles não se oporão a que nossa equipe encontre uma solução, mas não estarão dispostos a pesquisar nosso caso de uso de "borda". (Eles tiveram dificuldade em entender que iniciar a partir de mídia alternativa enquanto mantinha o HD bloqueado era uma possibilidade.)

Então, como eu posso inicializar o USB? {Sem ativar o BitLocker, digite o estado da senha de recuperação?}

Aqui estão algumas das coisas que me perguntaram em outro lugar:

• Eu tenho acesso ao BIOS em geral (pelo menos por enquanto).
• O "Secure Boot" do BIOS da Lenovo NÃO está ativado.
• O HD interno é listado primeiro na ordem de inicialização.
• Eu tenho privilégios de administrador local no Windows.
• Pelo menos neste momento, posso suspender o BitLocker. Fazer isso não parece ajudar nessa questão.
• No Windows, posso ver as configurações do TPM por meio dos painéis do MMC.
• Para ser claro, isso NÃO é uma proteção de Bitlocker + PIN. Um protetor somente de TPM é adicionado à unidade; então não é necessário nenhum PIN ou senha. O segundo proctor é a senha de recuperação numérica.
• Testamos explicitamente a exigência de um PIN para o Bitlocker, o que não ajuda nesse esforço.
• Esta não é a inicialização do UEFI
• Eu posso fornecer (se necessário) screenshots de todas as telas relevantes da BIOS.

• Esta é a atualização de BIOS mais atual disponível.

• Remover o HD interno requer uma chave de fenda, portanto, isso não é considerado uma opção de trabalho viável. Uma imagem de VM no Windows também não é uma opção que desejamos investigar.

Posso adicionar ainda mais detalhes, se solicitado, mas estou tentando não sobrecarregar a pergunta inicialmente.