Моя команда собирается предоставить нашим путешествующим коллегам новые ноутбуки с Windows 8. Часть нашего решения по безопасности зависит от использования BitLocker. Каждый ноутбук будет иметь два раздела, настроенных так:
- C: - Этот раздел получает защиту ключа TPM и защиту ключа RecoveryPassword
- D: - Этот раздел получает защиту ключа RecoveryPassword, установленную на автоматическую разблокировку (следовательно, защита ключа ExternalKey)
В PowerShell эта конфигурация выглядит следующим образом:
PS C:\Users\Administrator> Get-BitLockerVolume
ComputerName: COMO035
VolumeType Mount CapacityGB VolumeStatus Encryption KeyProtector AutoUnlock Protection
Point Percentage Enabled Status
---------- ----- ---------- ------------ ---------- ------------ ---------- ----------
OperatingSystem C: 50,00 FullyEncrypted 100 {Tpm, RecoveryPassword} On
Data D: 68,72 FullyEncrypted 100 {RecoveryPassword, Ext... True On
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
AutoUnlockProtector :
KeyProtectorType : Tpm
KeyFileName :
RecoveryPassword :
KeyCertificateType :
Thumbprint :
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
При нормальной загрузке эта конфигурация работает без нареканий. TPM не обнаруживает никакого вмешательства в аппаратное обеспечение и Windows загружается нормально. Если я вытащу диск и попытаюсь загрузить его на другой идентичный ноутбук (с другим TPM), появится экран восстановления BitLocker. Я ввожу пароль восстановления, после которого Windows загружается снова. Все идет нормально.
В качестве дополнительного уровня безопасности мы создали сценарий, который запускается политикой блокировки учетной записи. Этот сценарий должен сделать недействительным доверенный платформенный модуль, поэтому единственной возможностью разблокировать BitLocker является пароль восстановления. Команда manage-bde -ForceRecovery обещает сделать именно это. В действительности он удаляет средство защиты ключей TPM, как показано в выходных данных ниже, и оставляет параметр пароля восстановления без изменений. После перезагрузки я предоставляю пароль восстановления, но BitLocker решает, что он неверен, и отказывается загружать Windows.
PS C:\Users\Administrator> manage-bde.exe -ForceRecovery c:
BitLocker Drive Encryption: Configuration Tool version 6.2.9200
Copyright (C) 2012 Microsoft Corporation. All rights reserved.
TPM:
ID: {C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}
Key protector with ID "{C50DC6BC-3503-4A5B-AC86-4A7EB8EC00AB}" deleted.
Only a recovery password or recovery key can unlock volume C:.
PS C:\Users\Administrator> (Get-BitLockerVolume).KeyProtector
KeyProtectorId : {A2DB1378-A0E9-4372-BAF6-D96C74D0A77A}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 210430-544511-535018-062700-250756-593483-345774-219087
KeyCertificateType :
Thumbprint :
KeyProtectorId : {4673AE64-F3B7-4976-92C2-D2584BD39172}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 601502-030690-192005-498520-321904-056639-351956-604670
KeyCertificateType :
Thumbprint :
KeyProtectorId : {5F43BEB6-AE1D-406D-83CF-62A607818043}
AutoUnlockProtector : True
KeyProtectorType : ExternalKey
KeyFileName : 5F43BEB6-AE1D-406D-83CF-62A607818043.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
На этапе разработки прототипа проекта я попробовал это с виртуальной машиной, но вместо обычного защитника TPM использовал обычную защиту паролем. Удаление всего вручную, кроме защитника восстановления пароля, работало отлично.
Кто-нибудь знает, почему BitLocker отказывается от пароля восстановления после удаления средства защиты ключей TPM?