7

В этом ответе я узнал, что начиная с Windows 10 v1607, Windows по умолчанию не позволяет устанавливать, сохранять или изменять пароль владельца TPM. Таким образом, возможность сброса блокировки доверенного платформенного модуля путем ввода пароля владельца больше не существует.

Альтернатива - очистить TPM. Следующий сценарий:

  • BitLocker включен с TPM + PIN
  • введен неправильный PIN-код> 256 раз за некоторое время
  • теперь TPM никогда не разрешает более одной попытки ввода PIN-кода, прежде чем войти в блокировку на несколько минут
  • во время блокировки TPM ключ доступа может быть использован для доступа к системе

Безопасно ли очищать TPM для сброса счетчика неправильных попыток ввода PIN-кода? Будут ли потеряны зашифрованные данные BitLocker? Экран предупреждения звучит серьезно (ниже).

Как уже упоминалось, ключ восстановления доступен. Тем не менее, я хочу избежать необходимости вводить его каждый раз при загрузке компьютера.

|источник

2 ответа2

9

ТЛ; др:

Безопасно ли очищать TPM для сброса счетчика неправильных попыток ввода PIN-кода?

Только если у вас есть ключ восстановления BitLocker. Если вы очистите доверенный платформенный модуль, зашифрованный диск будет доступен только с помощью ключа восстановления.

Так что в вашем случае все должно быть в порядке, чтобы очистить чип TPM. После этого перезагрузите компьютер и введите ключ восстановления. Оказавшись в Windows, вы можете снова включить чип TPM и установить новый PIN-код.

Более длинное объяснение:

BitLocker обычно (см. Ниже для исключения) использует чип TPM компьютера для хранения ключа, необходимого для расшифровки загрузочного диска. Если чип TPM очищен, этот ключ теряется (навсегда). В этом случае единственный способ расшифровать диск - это использовать ключ восстановления BitLocker - он существует специально для подобных случаев.

На практике, если вы загружаетесь с диска, зашифрованного с помощью BitLocker, и Windows обнаруживает, что не может извлечь ключи из микросхемы TPM, она запросит ключ восстановления. Вы получите уродливый черно-белый экран, спрашивающий ключ. Если вы введете правильную клавишу, Windows загрузится нормально. Если вы не можете ввести ключ - невезение.

Для получения дополнительной информации о том, как работает BitLocker, см. Также этот вопрос на serverfault.com: TPM необходимо повторно инициализировать: необходимо ли загружать новый пароль восстановления в AD?

Замечания:

Можно использовать BitLocker без доверенного платформенного модуля, хотя сначала необходимо включить эту опцию. В этом случае очистка TPM не будет иметь значения. Тем не менее, похоже, что вы используете BitLocker с TMP, так что это не относится к вашему случаю.

|источник
4

Да, доверенный платформенный модуль можно безопасно очистить, когда ключ восстановления доступен. Для дальнейшей поддержки ответа @ sleske, вот выдержки из статьи Technet по восстановлению Bitlocker.

Что вызывает восстановление BitLocker?

В следующем списке приведены примеры конкретных событий, которые приведут к переходу BitLocker в режим восстановления при попытке запуска диска с операционной системой:

  • Выключение, отключение, деактивация или очистка доверенного платформенного модуля.

 

Что такое восстановление BitLocker?

Восстановление BitLocker - это процесс, с помощью которого вы можете восстановить доступ к диску, защищенному с помощью BitLocker, в случае, если вы не можете разблокировать диск как обычно. В сценарии восстановления у вас есть следующие варианты восстановления доступа к диску:

  • Пользователь может указать пароль для восстановления. Если ваша организация позволяет пользователям распечатывать или хранить пароли восстановления, пользователь может ввести 48-значный пароль восстановления, который они распечатали или сохранили на USB-накопителе или в онлайн-аккаунте Microsoft.

 

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .