TPM musste neu initialisiert werden: Muss ein neues Wiederherstellungskennwort auf AD hochgeladen werden?


8

In gewisser Weise konnte der Computer eines Benutzers das Bitlocker-Passwort nicht vom TPM-Chip lesen, und ich musste den Wiederherstellungsschlüssel (in AD gespeichert) eingeben, um einzusteigen. Keine große Sache, aber einmal im Computer, ich Es wurde versucht, Bitlocker gemäß der Wiederherstellungsdokumentation anzuhalten, und es wurde eine Fehlermeldung angezeigt, dass das TPM nicht initialisiert wurde. Ich wusste, dass das TPM aktiviert und im BIOS aktiviert war, aber Windows hat mich trotzdem dazu gebracht, den TPM-Chip neu zu initialisieren, und dabei ein neues TPM-Besitzerkennwort erstellt.

Ich fand das seltsam, weil ich aufgefordert wurde, dieses Kennwort zu speichern oder auszudrucken (es gab keine Option, dies nicht zu tun), aber es wurde weder auf ein Wiederherstellungskennwort verwiesen, noch wurde dieses Kennwort auf AD zurückgesetzt.

Nachdem die Benutzerin ihren Laptop genommen und gegangen war, begann ich zu denken, dass sich auch das Wiederherstellungskennwort ändert, wenn sich das TPM-Passwort ändert? In diesem Fall muss das neue Wiederherstellungskennwort in AD hochgeladen werden. Die Dokumentation von MS macht dies jedoch nicht deutlich und sichert den neuen Wiederherstellungsschlüssel (falls vorhanden) nicht automatisch in AD, wenn dies in der Gruppenrichtlinie angegeben ist muss und von einem Netzwerkstandpunkt aus ist AD zugänglich.

Antworten:


11

Wenn BitLocker ein Laufwerk verschlüsselt, bleibt der Hauptverschlüsselungsschlüssel auf dem Laufwerk selbst, jedoch nicht im Klartext. Das Master-Passwort wird selbst von "Protectors" verschlüsselt. Jeder von diesen behält eine separate Kopie des Hauptschlüssels, da nur der Protektor, der ihn verschlüsselt hat, diese Kopie des Hauptschlüssels entschlüsseln kann.

Wenn Windows ein Volume über die GUI verschlüsselt, werden normalerweise zwei Protektoren erstellt: ein Wiederherstellungskennwort (RP) und ein TPM-Schlüssel. Wie oben erwähnt, werden diese vollständig separat gespeichert. Wenn Sie das Gruppenrichtlinienobjekt bei jeder Erstellung eines RP konfiguriert haben, wird es in AD gespeichert. Dies erfolgt vollautomatisch. Wenn Sie das Gruppenrichtlinienobjekt konfiguriert haben, kann ein RP nicht ohne Hochladen auf AD auf der Festplatte gespeichert werden (dh es wird keine Offline-RP-Erstellung durchgeführt, da AD nicht verfügbar wäre).

Ich empfehle dringend, die GUI zu verlassen. Es beschönigt die Funktion von BitLocker für einen Systemadministrator zu sehr, und der eigentliche Betrieb von BitLocker ist wirklich nicht so kompliziert. Das CLI-Dienstprogramm manage-bdewird mit jeder Windows-Version geliefert, die BitLocker unterstützt. Es ist ziemlich einfach, obwohl die Syntax etwas ausführlich ist.

Um zu sehen, was das Laufwerk des Laptops gerade tut, führen Sie es einfach aus manage-bde -status C:. Was TPM-Probleme betrifft manage-bde -protectors -get C:, kopiere ich nach dem Entsperren des PCs und dem Booten von Windows immer die ID für den TPM-Schutz (einschließlich Klammern), führe sie aus manage-bde -protectors -delete C: -id {the_id_you_copied}und schließlich manage-bde -protectors -add C: -tpm. Es sind 30 Sekunden mehr Arbeit, aber Sie wissen genau, was es tut und wo Sie danach stehen.


Perfekt. Ich bin mit Managing-Bde vertraut, aber da wir immer noch Bitlocker in unserer Umgebung einführen, ist es hier noch ziemlich neu und ich habe nicht daran gedacht, es zu verwenden. Ich habe es so eingerichtet, dass wir auf unseren neuen Computern die tpm und den Bitlocker während unseres Imaging-Prozesses (sccm) aktivieren. Bis zu diesem Zeitpunkt hatten wir nur wenige Computer, die manuell entsperrt werden mussten.
MDMoore313

Das alles kommt jetzt auf mich zurück: Auf dem TPM-Schlüssel ist ein Protektor gespeichert, um das Master-Passwort zu entschlüsseln, das auf dem Bootloader (ich vermute) gespeichert ist. Wenn darauf nicht zugegriffen werden kann, muss der Wiederherstellungsschlüssel eingegeben werden, um das zu entschlüsseln Hauptschlüssel, aber der Hauptschlüssel selbst ist nicht auf dem TPM-Chip gespeichert. Ist das der Scherz?
MDMoore313

1
Ja, das ist es. Es ist ziemlich selten, dass ich eine Maschine entsperren muss (meistens nur der Entwickler, der mit Einstellungen herumspielt, die er nicht sein sollte). Ich bekomme nur selten Anrufe, wenn Leute bootfähige USB-Sticks in ihren Maschinen lassen. TPM wird jedoch empfindlich gegenüber neuen bootfähigen Medien wie diesen (und sobald TPM sauer ist, muss man es komplett ausschalten, sonst bleibt es sauer).
Chris S

Ja, sie war eine Bastlerin, aber wir haben damit begonnen, BIOS-Passwörter zu verwenden, um zu verhindern, dass diese Art von "Zurücksetzen auf Standard" passiert (was hier vielleicht nicht der Fall war, aber immer noch), was unsere Umgebung zerstören würde.
MDMoore313

1
Wir verwenden HP Laptops und aktualisieren das BIOS (falls erforderlich) und flashen eine "Standard" -Konfiguration (einschließlich Firmenlogo und Kennwort) darauf, wenn der Laptop mit dem HPQflash-Dienstprogramm (in den BIOS-Paketen, die Sie von ihnen erhalten) und bcu ( BIOS-Konfigurationsdienstprogramm). Ich wäre überrascht, wenn Dell nichts Ähnliches hätte.
Chris S

3

Ich weiß, dass dies alt ist, habe hier nach etwas anderem gesucht, aber meiner Erfahrung nach ist das automatische Hochladen auf AD nach einer solchen Änderung nicht immer erfolgreich. Ich wurde deswegen mehrmals bei der Arbeit gebissen. Nachdem ich das zweite Mal etwas bekommen hatte, entschied ich mich, den Upload-Prozess zu skripten, um sicherzustellen, dass er stattfindet, anstatt von dem automatischen Upload-Prozess abzuhängen, der stattfinden soll. Folgendes habe ich geschrieben (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE

Zurücksetzen, hochladen und dann wieder nach unten ziehen, um sicherzustellen, dass es geändert wurde. Hört sich gut an, +1. Oh, warte: ziehst du es nicht wieder runter? Keine Powershell? Sie könnten wahrscheinlich den gesamten Zyklus mit Powershell implementieren.
MDMoore313
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.