Lenovo T480 saya menjalankan instalasi Windows 10 yang dilindungi Bitlocker. Bitlocker dikonfigurasi untuk mengunci sistem (meminta kunci pas) jika ada perubahan perangkat keras. Saya ingin menjaga perlindungan Bitlocker tetap dan tidak dimodifikasi, tetapi memiliki kemampuan untuk dual boot ke Linux atau Win10 berbeda dari SSD yang berbeda (tanpa mengubah konfigurasi Bitlocker). Saya memiliki akses penuh ke pengaturan UEFI.
Sejauh yang saya mengerti, bitlocker menempatkan sesuatu seperti kebijakan pada TPM, yang kemudian mengunci laptop. Bahkan dengan drive Windows yang terputus secara fisik, bit bitlocker yang masuk TPM akan menghentikan bootloader apa pun agar tidak berjalan.
Di sinilah saya terjebak: Saya ingin dapat menukar keluar drive Windows dan menggunakan OS yang berbeda, tetapi saya tidak dapat melakukannya tanpa mengacaukan konfigurasi TPM saat ini (sejauh yang saya mengerti).
Dalam pengaturan UEFI T480, ada opsi untuk menonaktifkan TPM. Apakah itu menghapus TPM? Itu akan membuat instalasi Windows tidak dapat digunakan. Apakah ini menonaktifkan TPM sampai saya mengaktifkannya kembali? Apakah Bitlocker / TPM mengunci Windows menginstal jika saya menonaktifkan TPM, menggunakan drive Linux, dan kemudian mengaktifkan kembali TPM?
Sunting: Untuk saat ini, saya mencoba untuk membuat boot ganda dengan salinan kedua Windows 10 bekerja, dan bahkan dengan hard disk pertama terputus, saya mendapatkan layar bitlocker biru meminta saya untuk kunci USB saya.
Sunting2: Dipecahkan. Saya tidak pernah mencoba apa yang terjadi ketika saya mengatur TPM ke "tersembunyi" di UEFI. Untuk rekap, pengaturannya adalah:
- Win10 pada disk 1, dengan bitlocker aktif, kunci yang disimpan di TPM dilindungi melalui deteksi perubahan perangkat keras
- Win10 pada disk 2, tidak ada bitlocker
Saya menginstal disk2 dan dapat menggunakannya dengan baik, sampai saya boot ke disk1. Saya kemudian tidak bisa boot disk2. Saya salah berasumsi bahwa TPM mencegah saya mem-boot disk yang berbeda dari yang menggunakan bitlocker. Sebenarnya apa yang terjadi adalah disk1 memutuskan bahwa semua drive harus dilindungi oleh bitlocker dan disk2 terenkripsi untuk saya. Setelah itu disk2 tidak dapat membuka sendiri (mungkin karena kunci master yang digunakan bitlocker ada di disk1) dan gagal boot dengan kesalahan bitlocker. Saya tidak memiliki hak admin pada disk1 jadi saya tidak dapat mematikan bitlocker pada disk2 dari disk1. Instal ulang Win10 pada disk2 sebagai gantinya, dan akan berhati-hati untuk tidak mem-boot disk1 saat disk2 dicolokkan.
sumber
Jawaban:
Tidak. Jangan bingung dengan BitLocker dan Secure Boot. Jangan keliru tentang apa yang terjadi pada TPM.
Secara khusus, satu-satunya bit BitLocker yang masuk ke TPM adalah a kunci dekripsi untuk kunci utama disk Anda.
TPM, pada dasarnya, adalah tempat untuk penyimpanan bukti kerusakan yang aman - seperti smartcard. Ini pasif dan tidak dapat mempengaruhi sisa sistem dengan sendirinya. Ini memiliki firmware sendiri, tetapi tidak menyimpan atau menjalankan kode yang disediakan OS; ini terutama terbatas pada operasi kriptografi - mis. OS dapat meminta TPM untuk mengenkripsi atau mendekripsi data.
Seperti yang sudah Anda temukan, TPM juga memiliki fitur untuk menyimpan data yang disegel dengan status sistem saat ini (mis. Drive tempat Anda boot, hash bootloader dilaporkan oleh UEFI, ditambah apa pun hash OS / kernel yang dilaporkan oleh bootloader itu sendiri). "Kebijakan" dalam konteks ini adalah serangkaian kondisi yang memberi tahu TPM kapan diizinkan untuk melepaskan data yang disimpan, jika OS memintanya.
BitLocker adalah sistem Windows untuk enkripsi disk. Ini mencegah seseorang mengakses anda Windows drive tanpa mengetahui kuncinya, tetapi itu tidak mencegah sistem diri dari melakukan hal lain, termasuk mem-boot OS lain dari drive lain.
BitLocker dapat menggunakan TPM sebagai tempat untuk menyimpan kuncinya, yang disegel terhadap OS yang Anda jalankan. Jika Anda mencoba untuk boot dari drive lain, atau mengubah bootloader, TPM akan menolak untuk melepaskan kunci dan BitLocker akan meminta kata sandi pemulihan.
Tetapi jika Anda mem-boot OS yang tidak meminta TPM untuk membuka segel data itu, well, tidak ada yang terjadi. OS hanya boot seperti biasa - TPM tidak secara aktif mencoba untuk mencegahnya.
Secure Boot adalah sistem penguncian UEFI. Saya t bisa secara aktif mencegah sistem mem-boot bootloader "tidak terpercaya" dan sistem operasi, yang umumnya berarti "tidak ditandatangani oleh Microsoft" meskipun dapat dikustomisasi.
(Perhatikan bahwa Boot Aman dalam mode default tidak mengikat instalasi OS tertentu; itu akan boot apa saja OS yang memiliki tanda tangan yang dikenali. Ini bahkan termasuk bootloader Linux yang disebut "Shim".)
Boot Aman dapat ada pada sistem bahkan tanpa TPM, dan demikian pula, TPM dapat ada pada sistem tanpa Boot Aman, atau memang tanpa UEFI.
Beberapa produsen (mis. HP) menggunakan memori TPM untuk menyimpan pengaturan Boot Aman, untuk membebaskan mereka dari trik "keluarkan baterai untuk menghapus pengaturan firmware" yang biasa. Ini masih tidak mengubah TPM menjadi selain smartcard.
Tidak, Anda dapat dengan bebas melakukan dual-boot dengan TPM diaktifkan. (Seperti yang disebutkan, TPM pasif.) Bahkan Anda bahkan dapat menggunakan Linux TPM yang sama untuk menyegel kunci sendiri untuk enkripsi disk LUKS.
Namun, Anda mungkin perlu menonaktifkan Boot Aman jika saat ini mencegah Linux dari boot.
Mengubah pengaturan Boot Aman akan mencegah Windows mengakses kunci BitLocker, tetapi tidak akan menghapusnya. Anda dapat mengaktifkan kembali Boot Aman nanti dan mendapatkan kembali akses - atau Anda dapat membuat Boot Aman dinonaktifkan secara permanen, dan biarkan Windows menyimpan kunci baru di TPM. (Ini terjadi secara otomatis segera setelah Anda memasukkan kunci pemulihan BitLocker.)
Pastikan Anda benar-benar memiliki kunci pemulihan sebelum mencoba ini.
"Panduan Pengguna T480" resmi adalah tidak jelas tentang ini, tetapi saya akan menebak bahwa konten TPM tetap utuh, karena daftar manual a terpisah Opsi "Kosongkan konten TPM". Jika menonaktifkan TPM membersihkannya, dua opsi akan menjadi berlebihan.
Tidak, itu hanya berarti Anda harus memasukkan kunci pemulihan BitLocker.
Setelah Anda membuka kunci drive dengan kunci pemulihan, BitLocker juga akan secara otomatis membuat kunci baru dan menyimpannya di TPM lagi (jika diaktifkan), kembali disegel terhadap status sistem yang baru.
Jika Anda tidak memiliki kunci pemulihan, gunakan
manage-bde -protectors
untuk mendapatkannya sebelum Anda mulai mengutak-atik pengaturan TPM atau Secure Boot. Itu juga bisa didapat melalui panel kontrol dan terkadang bahkan disimpan dengan akun Microsoft Anda .sumber
manage-bde
). Apalagi kalau itu a SSD yang mengenkripsi sendiri (dengan fitur OPAL) dan jika Anda telah mengaktifkan bde dengan "Enkripsi perangkat keras" pada disk sebelumnya, maka disk itu sendiri mungkin masih membawa BitLocker PBA dari instalasi sebelumnya.Anda bisa mengatur
Security Chip
untukActive/Inactive/Disabled
(T440). Ini tidak menghapus apa pun. Namun pilihannyaClear Security Chip
jelas menghapus kunci enkripsi dan juga mengubahSecurity Chip Selection
dariDiscrete TPM (TPM 1.2)
untukIntel PTT (TPM 2.0)
akan melakukannya (popup terbuka "Semua kunci enkripsi akan dihapus dalam chip keamanan. Apakah Anda benar-benar ingin melanjutkan? [Ya] / [Tidak]").sumber