O TPM teve que ser reintegrado: uma nova senha de recuperação precisa ser carregada no AD?

Question

O TPM teve que ser reintegrado: uma nova senha de recuperação precisa ser carregada no AD?

#1 resposta do (10 votos)
#2 resposta do (2 votos)

8

De alguma forma, como a máquina de um usuário não conseguiu ler a senha do bitlocker do chip TPM, eu tive que inserir a chave de recuperação (armazenada no AD) para entrar. Não é grande coisa, mas uma vez no máquina, tentei suspender o bitlocker por documentação de recuperação e recebi uma mensagem de erro sobre o TPM não estar sendo inicializado. Eu sabia que o TPM estava ativado e ativado no BIOS, mas o Windows ainda me fez reinicializar o chip TPM e, no processo, criou uma senha do proprietário do TPM novo .

Eu achei isso estranho porque me levou a salvar essa senha ou imprimi-la (não havia a opção de não fazer isso), mas não fazia referência a uma senha de recuperação nem a essa senha até o AD.

Depois que o usuário pegou seu laptop e saiu, comecei a pensar que, se a senha do TPM mudasse, a senha de recuperação também mudaria? Em caso afirmativo, essa nova senha de recuperação precisará ser carregada no AD, mas a documentação do MS não deixa isso claro e não faz o backup da nova chave de recuperação (se houver) no AD automaticamente quando a diretiva de grupo o informa. deve, e de um ponto de vista de rede AD é acessível.

tpm bitlocker

por MDMoore313 08.11.2013 / 15:31

2 respostas

2

Eu sei que isso é antigo, estou aqui procurando por algo mais, mas na minha experiência, o upload automático para o AD após uma alteração como essa nem sempre é bem-sucedido. Eu fui mordido no trabalho várias vezes por causa disso. Após a 2 ª vez ficando bit, decidi escrever o processo de upload para garantir que isso aconteça em vez de depender do processo de upload de automagic que deveria acontecer. Aqui está o que eu escrevi (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE

por 10.02.2017 / 17:36

Tags tpm bitlocker

Janela inesperadamente encolhida AWS Cloudformation - não é possível adicionar várias associações de sub-rede a uma tabela de roteamento público

score 10 · Accepted Answer

Quando o BitLocker criptografa uma unidade, ela mantém a chave mestra de criptografia na própria unidade, embora não em texto simples. A senha mestra é mantida criptografada por "Protetores". Cada um deles mantém uma cópia separada da chave mestra, pois somente o protetor que criptografou pode descriptografar essa cópia da chave mestra.

Quando o Windows criptografa um volume por meio da GUI, ele geralmente cria dois protetores: uma senha de recuperação (RP) e uma chave de TPM. Como observado acima, estes são armazenados completamente separadamente. Se você tiver o GPO configurado toda vez que um RP for criado, ele será armazenado no AD. Isso é totalmente automático e, se você tiver o GPO configurado, um RP não poderá ser salvo no disco sem fazer upload no AD (ou seja, nenhuma criação de RP off-line como o AD não estará disponível).

Eu sugiro strongmente que abandone a GUI. Ele encobre a função do BitLocker demais para um administrador do sistema, e a operação real do BitLocker realmente não é tão complicada. O utilitário CLI manage-bde vem com todas as versões do Windows que suportam o BitLocker. É bastante simples, embora a sintaxe seja um pouco detalhada.

Para ver o que a unidade do laptop está fazendo agora, basta executar manage-bde -status C: . Quanto aos problemas do TPM, depois de desbloquear o PC e inicializar o Windows, sempre executo manage-bde -protectors -get C: , copiei o ID do protetor do TPM (incluindo colchetes) e, em seguida, execute manage-bde -protectors -delete C: -id {the_id_you_copied} e finalmente manage-bde -protectors -add C: -tpm . São 30 segundos a mais de trabalho, mas você sabe exatamente o que está fazendo e exatamente onde está depois.