Motivo do bloqueio do TPM

Navegue suas respostas
4

Temos vários dispositivos Surface Pro 3 implantados com o BitLocker ativado no modo TPM + PIN. Os dispositivos têm um chip TPM 2.0 e estão executando o Windows 8.1 Pro.

Temos um problema em que os usuários são ocasionalmente apresentados ao erro "Excesso de tentativas incorretas de PIN" quando inserem o PIN correto. Eles devem então inserir a chave de recuperação para poder continuar o processo de inicialização. Eles então precisam inserir a chave de recuperação toda vez que inicializarem o dispositivo até que reconfiguremos manualmente o bloqueio do TPM usando tpm.msc, o que é obviamente inconveniente.

Por algum motivo, o TPM está entrando no estado de bloqueio, mas não parece ser devido a repetidas tentativas de PIN incorretas. O fato de o bloqueio não expirar se você deixar o dispositivo rodando também sugere que é por algum outro motivo além de atingir o número máximo de tentativas incorretas de autenticação. Eu entendo que a especificação do TPM 2.0 afirma que esse deve ser o caso, ao contrário das especificações do TPM 1.2 que deixaram o comportamento exato para o fornecedor.

A execução de Get-Tpm indica que o TPM está definitivamente em um estado bloqueado, mas não fornece nenhuma informação sobre a causa.

Alguém sabe se há algo que eu possa fazer para tentar determinar a causa raiz dos bloqueios?

    
por dbr 12.10.2016 / 17:29

2 respostas

0

Consegui fazer um pouco de progresso na solução de problemas no final. Vou tentar o meu melhor para lembrar os detalhes, mas já faz um tempo ...

Infelizmente, as máquinas em questão eram máquinas com Windows 8, portanto, o cmdlet Get-Tpm não retorna informações sobre os contadores de bloqueio. Por fim, consegui criar um script personalizado para ler esses contadores diretamente do TPM e, com certeza, o contador de bloqueios atingiu o valor do limite de bloqueio. Este foi o caso, embora não tenhamos inserido o PIN incorretamente.

Depois de muita escavação, acabei encontrando uma seção na especificação do TPM 2.0 que descreve um mecanismo que quase certamente está causando o problema. Antes de entrar em detalhes, um pouco de background seria útil ... Antes que um SO possa fazer uso do TPM, ele deve chamar a rotina de inicialização do TPM. Isso parece acontecer antes da exibição da tela PIN do BitLocker. Por outro lado, quando o sistema operacional tiver terminado de usar o TPM, ele deverá chamar a rotina de desligamento do TPM. O Windows parece fazer isso durante a sequência de desligamento do sistema operacional.

O problema surge quando o sistema é desligado sem que o SO seja desligado corretamente. Nesse cenário, a rotina de desligamento do TPM não foi chamada antes do chip ser desligado. A especificação do TPM 2.0 informa que, se a rotina de inicialização do TPM for chamada sem uma chamada anterior para a rotina de desligamento do TPM, ela deverá incrementar o contador de bloqueio em um. Esse recurso existe para proteger contra um tipo específico de ataque contra o TPM. Portanto, quando o dispositivo é ligado novamente, o contador de bloqueio é incrementado em um, mesmo se o usuário inserir o PIN correto do BitLocker.

No meu caso particular, os dispositivos em questão eram todos os tablets Microsoft Surface Pro 3. Meu palpite era que os usuários estavam segurando o botão de energia para desligar a máquina sem desligá-la corretamente. Geralmente, isso não é um grande problema, pois o contador de bloqueio acabará diminuindo novamente após duas horas. No entanto, se eles fizerem isso com bastante frequência, o contador de bloqueios não terá tempo para decrementar. O problema é agravado pelo fato de que o temporizador usado para rastrear quando decrementar é redefinido se a máquina for desligada, o que significa que ela deve permanecer ligada continuamente por duas horas antes de decrementar. Alguns usuários só retiram sua máquina por curtos períodos.

O Surface Pro 3 suporta algo que a Microsoft chama de "Connected Standby" ou "InstantGo". Esse é um recurso que faz o dispositivo se comportar mais como um dispositivo móvel em termos de gerenciamento de energia. Tocar no botão liga / desliga faz com que o dispositivo entre no modo de baixo consumo de energia, em vez do modo de espera tradicional ou de suspensão. No entanto, mudamos o plano de energia para "Alto desempenho", que tem o efeito de desativar o modo de espera conectado, fazendo com que o dispositivo se comporte como um PC tradicional. Eu acho que isso pode ser um fator no problema.

    
por 30.09.2017 / 20:08
2

A explicação que eu li é que o TPM não tem acesso para escrever qualquer tipo de log ou causa para o bloqueio na unidade à qual ele está negando o acesso. Sensível Dar uma razão também pode apresentar uma falha de segurança.

A única informação que consegui encontrar ao longo destas linhas é o número de palavras-passe incorretas inseridas. Abra um prompt de powershell elevado e digite:

get-tpm

Ao contrário do shell de comando normal, você terá entradas para LockoutCount e LockoutMax. Isso lhe dará uma contagem de quantas senhas incorretas foram inseridas. Tenho certeza de que os usuários estão convencidos de que estão sempre inserindo o PIN correto, mas descobri que há uma falha de comunicação.

Dito isto, existem MUITOS outros motivos de bloqueio. link Especificamente "O que causa a recuperação do Bitlocker?" Qualquer coisa, desde inserir um CD até deixar a bateria do dispositivo descarregar completamente, pode causar um bloqueio. Isso é algo que eu estou tentando resolver por meio de uma mistura de educação do usuário, educação de helpdesk e avaliação de quais configurações de política de grupo / local a serem alteradas. link

    
por 07.12.2016 / 22:31

Tags

O SSSD deve executar a validação de acesso do AD para corresponder usuários locais? Otimizando as Playbooks Ansible para rodar contra muitos hosts