Насколько я понимаю, битлокер помещает что-то вроде политики в TPM, которая затем блокирует ноутбук. Даже если диск Windows физически отключен, битовый блокировщик, установленный на доверенном платформенном модуле, остановит запуск любого загрузчика.
Нет. Не путайте BitLocker и Secure Boot. Не заблуждайтесь о том, что идет на TPM.
В частности, единственный бит BitLocker, который входит в TPM, - это ключ дешифрования для главного ключа вашего диска.
TPM - это, по сути, место для безопасного хранения, защищенного от несанкционированного доступа - как смарт-карта. Он пассивен и не может влиять на остальную часть системы сам по себе. У него есть своя прошивка, но он не хранит и не запускает какой-либо предоставленный ОС код; он в основном ограничен криптографическими операциями - например, ОС может попросить TPM зашифровать или расшифровать данные.
Как вы уже обнаружили, TPM также имеет функцию для хранения данных, запечатанных с текущим состоянием системы (например, диск, с которого вы загрузились, хеш загрузчика, сообщенный UEFI, плюс любые хэши ОС / ядра, сообщенные самим загрузчиком). "Политика" в этом контексте - это набор условий, сообщающих TPM, когда ему разрешено выпускать сохраненные данные, если ОС запрашивает их.
BitLocker - это система Windows для шифрования дисков. Это предотвращает кого - то доступ к вашему диску Windows , не зная ключ, но это не мешает самой системе делать что - либо еще, включая загрузку любую другую ОС с любого другим диска.
BitLocker может использовать доверенный платформенный модуль в качестве места для хранения своих ключей, которые сопоставлены с конкретной ОС, на которой вы работаете. Если вы попытаетесь загрузиться с другого диска или каким-либо образом изменить загрузчик, TPM откажется освободить ключи, а BitLocker запросит пароль восстановления.
Но если вы загружаете ОС, которая не просит TPM распечатать эти данные, ничего не произойдет. ОС просто загружается как обычно - TPM не пытается активно ее предотвратить.
Безопасная загрузка - это система блокировки UEFI. Он может активно предотвращать загрузку "ненадежными" загрузчиками и операционными системами, что обычно означает "не подписан Microsoft", хотя его можно настраивать.
(Обратите внимание, что Secure Boot в режиме по умолчанию не привязывается к конкретной установке ОС; он загружает любую ОС с распознаваемой подписью. Это даже включает загрузчик Linux под названием "Shim".)
Безопасная загрузка может существовать в системах даже без доверенного платформенного модуля, и аналогично TPM могут существовать в системах без защищенной загрузки или даже без UEFI.
Некоторые производители (например, HP) используют память TPM для хранения настроек Secure Boot, чтобы освободить их от обычного трюка "извлечь батарею для сброса настроек прошивки". Это все еще не превращает TPM во что-то кроме смарт-карты.
Я хочу иметь возможность поменять диск с Windows и использовать Linux, но я не могу этого сделать, не покопавшись в текущей конфигурации TPM (насколько я понимаю).
Нет, вы можете свободно выполнять двойную загрузку с включенным TPM. (Как уже упоминалось, TPM является пассивным.) Фактически, вы можете даже использовать Linux с тем же TPM, чтобы запечатать свои собственные ключи для шифрования диска LUKS.
Однако вам может потребоваться отключить безопасную загрузку, если в настоящее время она запрещает загрузку Linux.
Изменение параметров безопасной загрузки не позволит Windows получить доступ к ключу BitLocker, но не очистит его. Вы можете повторно включить безопасную загрузку позже и восстановить доступ - или вы можете оставить защищенную загрузку отключенной навсегда, и Windows просто сохранит новый ключ в доверенном платформенном модуле. (Это происходит автоматически, как только вы вводите ключ восстановления BitLocker.)
Убедитесь, что у вас есть ключ восстановления, прежде чем пытаться это сделать.
Это очищает TPM?
Официальное "Руководство пользователя T480" неясно по этому поводу, но я полагаю, что содержимое TPM остается неизменным, поскольку в руководстве указан отдельный параметр "Очистить содержимое TPM". Если отключение доверенного платформенного модуля очистит его, эти два параметра будут избыточными.
Это сделает установку Windows непригодной для использования.
Нет, это только означает, что вам нужно будет ввести ключ восстановления BitLocker.
После того как вы разблокировали диск с помощью ключа восстановления, BitLocker также автоматически создаст новый ключ и снова сохранит его в доверенном платформенном модуле (если он включен), повторно сопоставив его с новым состоянием системы.
Если у вас нет ключа восстановления, используйте manage-bde -protectors чтобы получить его, прежде чем начинать изменять настройки TPM или Secure Boot. Его также можно получить через панель управления, а иногда даже сохранить с вашей учетной записью Microsoft.
