Bagaimana menonaktifkan TPM dalam pengaturan UEFI T480 mempengaruhi bitlocker? Apakah TPM sudah dihapus?

3

Lenovo T480 saya menjalankan instalasi Windows 10 yang dilindungi Bitlocker. Bitlocker dikonfigurasi untuk mengunci sistem (meminta kunci pas) jika ada perubahan perangkat keras. Saya ingin menjaga perlindungan Bitlocker tetap dan tidak dimodifikasi, tetapi memiliki kemampuan untuk dual boot ke Linux atau Win10 berbeda dari SSD yang berbeda (tanpa mengubah konfigurasi Bitlocker). Saya memiliki akses penuh ke pengaturan UEFI.

Sejauh yang saya mengerti, bitlocker menempatkan sesuatu seperti kebijakan pada TPM, yang kemudian mengunci laptop. Bahkan dengan drive Windows yang terputus secara fisik, bit bitlocker yang masuk TPM akan menghentikan bootloader apa pun agar tidak berjalan.

Di sinilah saya terjebak: Saya ingin dapat menukar keluar drive Windows dan menggunakan OS yang berbeda, tetapi saya tidak dapat melakukannya tanpa mengacaukan konfigurasi TPM saat ini (sejauh yang saya mengerti).

Dalam pengaturan UEFI T480, ada opsi untuk menonaktifkan TPM. Apakah itu menghapus TPM? Itu akan membuat instalasi Windows tidak dapat digunakan. Apakah ini menonaktifkan TPM sampai saya mengaktifkannya kembali? Apakah Bitlocker / TPM mengunci Windows menginstal jika saya menonaktifkan TPM, menggunakan drive Linux, dan kemudian mengaktifkan kembali TPM?

Sunting: Untuk saat ini, saya mencoba untuk membuat boot ganda dengan salinan kedua Windows 10 bekerja, dan bahkan dengan hard disk pertama terputus, saya mendapatkan layar bitlocker biru meminta saya untuk kunci USB saya.

Sunting2: Dipecahkan. Saya tidak pernah mencoba apa yang terjadi ketika saya mengatur TPM ke "tersembunyi" di UEFI. Untuk rekap, pengaturannya adalah:

  • Win10 pada disk 1, dengan bitlocker aktif, kunci yang disimpan di TPM dilindungi melalui deteksi perubahan perangkat keras
  • Win10 pada disk 2, tidak ada bitlocker

Saya menginstal disk2 dan dapat menggunakannya dengan baik, sampai saya boot ke disk1. Saya kemudian tidak bisa boot disk2. Saya salah berasumsi bahwa TPM mencegah saya mem-boot disk yang berbeda dari yang menggunakan bitlocker. Sebenarnya apa yang terjadi adalah disk1 memutuskan bahwa semua drive harus dilindungi oleh bitlocker dan disk2 terenkripsi untuk saya. Setelah itu disk2 tidak dapat membuka sendiri (mungkin karena kunci master yang digunakan bitlocker ada di disk1) dan gagal boot dengan kesalahan bitlocker. Saya tidak memiliki hak admin pada disk1 jadi saya tidak dapat mematikan bitlocker pada disk2 dari disk1. Instal ulang Win10 pada disk2 sebagai gantinya, dan akan berhati-hati untuk tidak mem-boot disk1 saat disk2 dicolokkan.

Philipp Doe
sumber
1
Kisahnya terdengar seperti disk1 adalah OS yang dikelola perusahaan dengan BitLocker diberlakukan melalui Kebijakan Grup ... Mudah "menghindari" dengan mengenkripsi disk2 dengan kunci Anda sendiri terlebih dahulu.
grawity
Ya, saya pikir saya bisa mengenkripsi disk2 sendiri untuk menjaga disk1. Saya tidak terlalu mengenal bitlocker tapi saya kira saya bisa memilih untuk tidak menggunakan TPM untuk itu. Terima kasih atas bantuan @grawity.
Philipp Doe

Jawaban:

9

Sejauh yang saya mengerti, bitlocker menempatkan sesuatu seperti kebijakan pada TPM, yang kemudian mengunci laptop. Bahkan dengan drive Windows yang terputus secara fisik, bit bitlocker yang masuk TPM akan menghentikan bootloader apa pun agar tidak berjalan.

Tidak. Jangan bingung dengan BitLocker dan Secure Boot. Jangan keliru tentang apa yang terjadi pada TPM.

Secara khusus, satu-satunya bit BitLocker yang masuk ke TPM adalah a kunci dekripsi untuk kunci utama disk Anda.

  • TPM, pada dasarnya, adalah tempat untuk penyimpanan bukti kerusakan yang aman - seperti smartcard. Ini pasif dan tidak dapat mempengaruhi sisa sistem dengan sendirinya. Ini memiliki firmware sendiri, tetapi tidak menyimpan atau menjalankan kode yang disediakan OS; ini terutama terbatas pada operasi kriptografi - mis. OS dapat meminta TPM untuk mengenkripsi atau mendekripsi data.

    Seperti yang sudah Anda temukan, TPM juga memiliki fitur untuk menyimpan data yang disegel dengan status sistem saat ini (mis. Drive tempat Anda boot, hash bootloader dilaporkan oleh UEFI, ditambah apa pun hash OS / kernel yang dilaporkan oleh bootloader itu sendiri). "Kebijakan" dalam konteks ini adalah serangkaian kondisi yang memberi tahu TPM kapan diizinkan untuk melepaskan data yang disimpan, jika OS memintanya.

  • BitLocker adalah sistem Windows untuk enkripsi disk. Ini mencegah seseorang mengakses anda Windows drive tanpa mengetahui kuncinya, tetapi itu tidak mencegah sistem diri dari melakukan hal lain, termasuk mem-boot OS lain dari drive lain.

    BitLocker dapat menggunakan TPM sebagai tempat untuk menyimpan kuncinya, yang disegel terhadap OS yang Anda jalankan. Jika Anda mencoba untuk boot dari drive lain, atau mengubah bootloader, TPM akan menolak untuk melepaskan kunci dan BitLocker akan meminta kata sandi pemulihan.

    Tetapi jika Anda mem-boot OS yang tidak meminta TPM untuk membuka segel data itu, well, tidak ada yang terjadi. OS hanya boot seperti biasa - TPM tidak secara aktif mencoba untuk mencegahnya.

  • Secure Boot adalah sistem penguncian UEFI. Saya t bisa secara aktif mencegah sistem mem-boot bootloader "tidak terpercaya" dan sistem operasi, yang umumnya berarti "tidak ditandatangani oleh Microsoft" meskipun dapat dikustomisasi.

    (Perhatikan bahwa Boot Aman dalam mode default tidak mengikat instalasi OS tertentu; itu akan boot apa saja OS yang memiliki tanda tangan yang dikenali. Ini bahkan termasuk bootloader Linux yang disebut "Shim".)

Boot Aman dapat ada pada sistem bahkan tanpa TPM, dan demikian pula, TPM dapat ada pada sistem tanpa Boot Aman, atau memang tanpa UEFI.

Beberapa produsen (mis. HP) menggunakan memori TPM untuk menyimpan pengaturan Boot Aman, untuk membebaskan mereka dari trik "keluarkan baterai untuk menghapus pengaturan firmware" yang biasa. Ini masih tidak mengubah TPM menjadi selain smartcard.

Saya ingin dapat menukar keluar drive Windows dan menggunakan Linux, tetapi saya tidak dapat melakukannya tanpa mengacaukan konfigurasi TPM saat ini (sejauh yang saya mengerti).

Tidak, Anda dapat dengan bebas melakukan dual-boot dengan TPM diaktifkan. (Seperti yang disebutkan, TPM pasif.) Bahkan Anda bahkan dapat menggunakan Linux TPM yang sama untuk menyegel kunci sendiri untuk enkripsi disk LUKS.

Namun, Anda mungkin perlu menonaktifkan Boot Aman jika saat ini mencegah Linux dari boot.

Mengubah pengaturan Boot Aman akan mencegah Windows mengakses kunci BitLocker, tetapi tidak akan menghapusnya. Anda dapat mengaktifkan kembali Boot Aman nanti dan mendapatkan kembali akses - atau Anda dapat membuat Boot Aman dinonaktifkan secara permanen, dan biarkan Windows menyimpan kunci baru di TPM. (Ini terjadi secara otomatis segera setelah Anda memasukkan kunci pemulihan BitLocker.)

Pastikan Anda benar-benar memiliki kunci pemulihan sebelum mencoba ini.

Apakah itu menghapus TPM?

"Panduan Pengguna T480" resmi adalah tidak jelas tentang ini, tetapi saya akan menebak bahwa konten TPM tetap utuh, karena daftar manual a terpisah Opsi "Kosongkan konten TPM". Jika menonaktifkan TPM membersihkannya, dua opsi akan menjadi berlebihan.

Itu akan membuat instalasi Windows tidak dapat digunakan.

Tidak, itu hanya berarti Anda harus memasukkan kunci pemulihan BitLocker.

Setelah Anda membuka kunci drive dengan kunci pemulihan, BitLocker juga akan secara otomatis membuat kunci baru dan menyimpannya di TPM lagi (jika diaktifkan), kembali disegel terhadap status sistem yang baru.

Jika Anda tidak memiliki kunci pemulihan, gunakan manage-bde -protectors untuk mendapatkannya sebelum Anda mulai mengutak-atik pengaturan TPM atau Secure Boot. Itu juga bisa didapat melalui panel kontrol dan terkadang bahkan disimpan dengan akun Microsoft Anda .

grawity
sumber
Terima kasih atas jawaban terinci. Saya dulu berpikir tentang TPM seperti smartcard, tetapi fakta bahwa saya masih mendapatkan layar bitlocker ketika saya melepas SSD pertama membuat saya berpikir itu mungkin memiliki peran yang lebih aktif. Seharusnya saya katakan saya sedang mencoba untuk dual boot salinan Windows 10 lainnya; Maaf. Itu instalasi yang cukup baru dan saya tidak pernah mengkonfigurasinya untuk menggunakan bitlocker / TPM untuk apa pun. Mungkinkah itu alasan saya tidak bisa mem-bootnya adalah karena mencoba mengakses TPM yang kemudian memblokir akses dan Windows sekunder gagal mem-boot meskipun tidak digunakan untuk kunci TPM?
Philipp Doe
Instalasi baru mungkin masih menggunakan BitLocker secara default; Anda tidak tahu sampai Anda melihat layar status (mis. manage-bde ). Apalagi kalau itu a SSD yang mengenkripsi sendiri (dengan fitur OPAL) dan jika Anda telah mengaktifkan bde dengan "Enkripsi perangkat keras" pada disk sebelumnya, maka disk itu sendiri mungkin masih membawa BitLocker PBA dari instalasi sebelumnya.
grawity
Saya baru saja menyambungkan disk 2 ke komputer lain, dan partisi Windows di dalamnya adalah Bitlocker yang dienkripsi. Wtf. Dugaan saya pada tahap ini adalah bahwa pengaturan pada disk 1 sedemikian rupa sehingga dienkripsi disk 2 segera setelah melihatnya. Untuk beberapa alasan, saya tidak bisa mem-boot disk 2.
Philipp Doe
2

Anda bisa mengatur Security Chip untuk Active/Inactive/Disabled (T440). Ini tidak menghapus apa pun. Namun pilihannya Clear Security Chip jelas menghapus kunci enkripsi dan juga mengubah Security Chip Selection dari Discrete TPM (TPM 1.2) untuk Intel PTT (TPM 2.0) akan melakukannya (popup terbuka "Semua kunci enkripsi akan dihapus dalam chip keamanan. Apakah Anda benar-benar ingin melanjutkan? [Ya] / [Tidak]").

Freddy
sumber