Minha equipe está prestes a fornecer aos nossos colegas de viagem novos laptops com o Windows 8. Parte da nossa solução de segurança depende do uso do BitLocker. Todo laptop terá duas partições configuradas assim:
No PowerShell, esta configuração é assim:
PS C:\Users\Administrator> Get-BitLockerVolume
ComputerName: COMO035
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 50,00 FullyEncrypted 100 {Tpm, RecoveryPassword} On
Data D: 68,72 FullyEncrypted 100 {RecoveryPassword, Ext... True On
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType : Tpm
KeyFileName :
RecoveryPassword :
KeyCertificateType :
Thumbprint :
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Durante uma inicialização normal, essa configuração funciona perfeitamente. O TPM não detecta nenhuma alteração no hardware e o Windows inicializa normalmente. Se eu retirar o disco e tentar inicializá-lo em outro laptop idêntico (com um TPM diferente), a tela de recuperação do BitLocker será exibida. Eu insiro a senha de recuperação após o qual o Windows é inicializado novamente. Até aí tudo bem.
Como uma camada extra de segurança, criamos um script que é acionado pela Política de bloqueio de conta. Esse script deve invalidar o TPM, portanto, a única opção para desbloquear o BitLocker é a senha de recuperação. O comando manage-bde -ForceRecovery promete fazer exatamente isso. Na realidade, ele remove o protetor de chave do TPM, conforme mostrado na saída abaixo, e deixa a opção de senha de recuperação intacta. Após a reinicialização, forneço a senha de recuperação, mas o BitLocker decide que ela não está correta e se recusa a inicializar o Windows.
PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.
TPM:
ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Na fase de protótipo do projeto, tentei isso com uma VM, mas usei um protetor de senha comum em vez do protetor de TPM. Remover manualmente todos, mas o protetor de recuperação de senha funcionou perfeitamente.
Alguém sabe por que o BitLocker recusa a senha de recuperação depois de remover o protetor de chave do TPM?
Tags encryption windows-8 tpm bitlocker