TPM harus diulang ulang: Apakah kata sandi pemulihan baru harus diunggah ke AD?

Entah bagaimana, mesin pengguna tidak bisa membaca kata sandi bitlocker dari chip TPM, dan saya harus memasukkan kunci pemulihan (disimpan dalam AD) untuk masuk. Bukan masalah besar, tetapi begitu berada di mesin, saya mencoba menangguhkan bitlocker per dokumentasi pemulihan, dan mendapat pesan kesalahan tentang TPM yang tidak diinisialisasi. Saya tahu TPM aktif dan diaktifkan di BIOS, tetapi Windows masih membuat saya menginisialisasi ulang chip TPM, dan dalam prosesnya TPM membuat kata sandi pemilik baru .

Saya menemukan itu aneh karena itu mendorong saya untuk menyimpan kata sandi ini atau mencetaknya (tidak ada pilihan untuk tidak melakukannya), tetapi itu tidak membuat referensi kata sandi pemulihan, juga tidak mengembalikan kata sandi ini hingga AD.

Setelah pengguna mengambil laptopnya dan pergi, saya mulai berpikir bahwa jika kata sandi TPM berubah, apakah kata sandi pemulihan juga berubah? Jika demikian, kata sandi pemulihan yang baru itu perlu diunggah ke AD, tetapi dokumentasi MS tidak menjelaskannya, dan tidak mencadangkan kunci pemulihan yang baru (jika ada) ke AD secara otomatis ketika kebijakan grup mengatakannya harus, dan dari sudut pandang jaringan, AD dapat diakses.

bitlocker tpm MDMoore313
sumber

Jawaban:

Ketika BitLocker mengenkripsi drive, ia menyimpan kunci enkripsi master pada drive itu sendiri, meskipun tidak dalam teks biasa. Kata sandi master disimpan sendiri dienkripsi oleh "Pelindung". Masing-masing menyimpan salinan kunci master yang terpisah karena hanya pelindung yang dienkripsi yang dapat mendekripsi salinan kunci master tersebut.

Saat Windows Anda mengenkripsi volume melalui GUI, biasanya ia menciptakan dua pelindung: Sandi Pemulihan (RP) dan kunci TPM. Seperti disebutkan di atas, ini disimpan sepenuhnya secara terpisah. Jika Anda memiliki GPO yang dikonfigurasi setiap kali RP dibuat, ia disimpan dalam AD. Ini sepenuhnya otomatis dan jika Anda mengkonfigurasi GPO, RP tidak dapat disimpan ke disk tanpa mengunggah ke AD (yaitu, tidak ada pembuatan RP offline karena AD tidak akan tersedia).

Saya sangat menyarankan membuang GUI. Ini menyoroti fungsi BitLocker terlalu banyak untuk administrator sistem, dan operasi sebenarnya dari BitLocker sebenarnya tidak terlalu rumit. Utilitas CLI manage-bdehadir dengan setiap versi Windows yang mendukung BitLocker. Ini cukup lurus ke depan, meskipun sintaksnya agak bertele-tele.

Untuk melihat apa yang dilakukan drive laptop sekarang, jalankan saja manage-bde -status C:. Sedangkan untuk masalah TPM, setelah membuka kunci PC dan mem-boot Windows yang selalu saya jalankan manage-bde -protectors -get C:, salin ID untuk pelindung TPM (termasuk tanda kurung), kemudian jalankan manage-bde -protectors -delete C: -id {the_id_you_copied}dan akhirnya manage-bde -protectors -add C: -tpm. Ini 30 detik lebih banyak pekerjaan, tetapi Anda tahu persis apa yang dilakukannya, dan persis di mana Anda berdiri sesudahnya.

Chris S
sumber

Sempurna. Saya kenal dengan manage-bde, tetapi karena kami masih meluncurkan bitlocker di lingkungan kami, masih cukup baru di sini dan saya tidak berpikir untuk menggunakannya. Saya telah mengaturnya sehingga pada mesin baru kami, kami mengaktifkan tpm dan mengaktifkan bitlocker selama proses pencitraan kami (sccm), hingga saat ini kami memiliki beberapa mesin yang perlu dibuka secara manual.

MDMoore313

Ini semua kembali kepada saya sekarang: pelindung disimpan pada kunci TPM untuk mendekripsi sandi master yang disimpan pada bootloader (saya tebak), dan jika itu tidak dapat diakses maka kunci pemulihan harus dimasukkan untuk mendekripsi sandi kunci master, tetapi kunci master itu sendiri tidak disimpan pada chip TPM. Apakah itu intinya?

MDMoore313

Ya itu saja. Sangat jarang bahwa saya harus membuka kunci mesin (kebanyakan hanya dev yang mengacaukan pengaturan yang seharusnya tidak mereka lakukan). Saya mendapat panggilan semi-sering ketika orang meninggalkan USB stick bootable di mesin mereka, TPM menjadi sensitif tentang media bootable baru seperti itu (dan sekali TPM marah Anda harus mematikan sepenuhnya atau itu akan tetap marah).

Chris S

Ya, dia adalah penjinak, tapi kami sudah mulai menggunakan kata sandi BIOS untuk mencegah hal 'reset to default' terjadi (mungkin tidak terjadi di sini tapi tetap saja), yang akan menimbulkan kerusakan pada lingkungan kita.

MDMoore313

Kami menggunakan laptop HP dan memperbarui BIOS (jika perlu) dan mem-flash konfigurasi "standar" (termasuk logo dan kata sandi perusahaan) padanya ketika laptop dicitrakan menggunakan utilitas HPQflash (dalam paket BIOS yang Anda dapatkan dari mereka) dan bcu ( Utilitas Konfigurasi BIOS). Saya akan terkejut jika Dell tidak memiliki sesuatu yang serupa.

Chris S

Saya tahu ini sudah lama, tiba di sini mencari sesuatu yang lain, tetapi dalam pengalaman saya mengunggah otomatis ke AD setelah perubahan seperti itu tidak selalu berhasil. Saya digigit di tempat kerja beberapa kali karena ini. Setelah kedua kalinya mendapatkan bit, saya memutuskan untuk skrip proses unggah untuk memastikan itu terjadi alih-alih tergantung pada proses unggah otomatis yang seharusnya terjadi. Inilah yang saya tulis (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE

Ryan Cheesman
sumber

Setel ulang, unggah, lalu tarik kembali untuk memastikan itu diubah. Kedengarannya bagus, +1. Oh, tunggu: Anda tidak menariknya kembali? Tidak ada PowerShell? Anda mungkin dapat menerapkan siklus penuh dengan PowerShell.

MDMoore313