TPMを再初期化する必要がありました:新しい回復パスワードをADにアップロードする必要がありますか?

8

どういうわけか、ユーザーのマシンはTPMチップからビットロッカーパスワードを読み取ることができず、アクセスするために(ADに保存されている)回復キーを入力する必要がありました。回復ドキュメントごとにビットロッカーを一時停止しようとしましたが、TPMが初期化されていないというエラーメッセージが表示されました。TPMがオンになっていてBIOSでアクティブ化されていることはわかっていましたが、WindowsでTPMチップを再初期化しても、その過程で新しい TPM所有者パスワードが作成されました。

このパスワードを保存するか印刷するように促されたため(そうすることはできませんでした)、奇妙なことに気付きましたが、回復パスワードを参照せず、このパスワードをADまでバックアップしませんでした。

ユーザーがラップトップを持って出て行った後、TPMパスワードが変更された場合、回復パスワードも変更されるのではないかと考え始めました。その場合、その新しい回復パスワードをADにアップロードする必要がありますが、MSのドキュメントではそのことが明確にされておらず、グループポリシーで新しい回復キー(存在する場合)が自動的にADにバックアップされません。ネットワークの観点から、ADにアクセスできる必要があります。

bitlocker  tpm 
MDMoore313
ソース

回答:

11

BitLockerがドライブを暗号化するとき、マスター暗号化キーはプレーンテキストではなく、ドライブ自体に保持されます。マスターパスワード自体は「プロテクター」によって暗号化されています。暗号化したプロテクターだけがマスターキーのコピーを解読できるため、これらのそれぞれがマスターキーの個別のコピーを保持します。

WindowsでGUIを使用してボリュームを暗号化すると、通常、回復パスワード(RP)とTPMキーの2つのプロテクターが作成されます。上記のように、これらは完全に別々に保存されます。RPが作成されるたびにGPOが構成されている場合、それはADに保存されます。これは完全に自動化されており、GPOを構成している場合、ADにアップロードしないとRPをディスクに保存できません(つまり、ADを使用できないため、オフラインでRPを作成することはできません)。

GUIを廃止すること強くお勧めします。これは、システム管理者のためにあまりにも多くのBitLockerの機能の上にグロス、およびBitLockerの実際の操作は本当に複雑なことではありません。CLIユーティリティmanage-bdeは、BitLockerをサポートするすべてのバージョンのWindowsに付属しています。構文は少し冗長ですが、それはかなり単純です。

ラップトップのドライブが今何をしているかを確認するには、単にを実行しmanage-bde -status C:ます。TPMの問題については、PCのロックを解除してWindowsを起動した後、常に実行manage-bde -protectors -get C:し、TPMプロテクターのID(ブラケットを含む)をコピーして実行しmanage-bde -protectors -delete C: -id {the_id_you_copied}、最後にしmanage-bde -protectors -add C: -tpmます。作業時間は30秒長くなりますが、それが何をしているのか、あとどこに立っているのかが正確にわかります。

クリスS
ソース
完璧です。私はmanage-bdeに精通していますが、私たちの環境ではまだビットロッカーを展開しているため、ここではまだかなり新しく、使用するつもりはありませんでした。新しいマシンでtpmを有効にし、イメージングプロセス(sccm)中にビットロッカーを有効にするように設定しました。この時点まで、手動でロック解除する必要のあるマシンはほとんどありませんでした。
MDMoore313 2013年
これは今、私に戻ってきます:プロテクターはTPMキーに保存され、(私が推測している)ブートローダーに保存されているマスターパスワードを復号化します。アクセスできない場合は、リカバリキーを入力して、マスターキーですが、マスターキー自体はTPMチップに格納されません。それはその趣旨ですか?
MDMoore313 2013年
1
うん、それだけです。マシンのロックを解除しなければならないことは非常にまれです(ほとんどの場合、開発者がすべきでない設定をいじっています)。ブート可能なUSBスティックをマシンに置いたままにすると、半ば頻繁に電話がかかってきますが、TPMはそのような新しいブート可能なメディアに触れます(TPMに問題が発生すると、完全に電源を切る必要があります。そうしないと、問題が発生します)。
Chris S
ええ、彼女はいじくり回しでしたが、BIOSパスワードを使用して、このような「デフォルトにリセットする」ことが起こらないようにしました(ここではそうではなかったかもしれませんが)。これにより、環境が破壊されます。
MDMoore313 2013年
1
HPラップトップを使用してBIOSを更新し(必要な場合)、ラップトップがHPQflashユーティリティ(BIOSパッケージから取得)とbcu( BIOS構成ユーティリティ)。デルに似たようなものがないとしたら、私は驚きます。
Chris S
3

私はこれが古いことを知っており、ここで何か他のものを探しましたが、私の経験では、そのような変更後のADへの自動アップロードが常に成功するとは限りません。このため、何度か職場で噛まれました。2回目にビットが取得された後、想定されているautomagicアップロードプロセスに依存するのではなく、アップロードプロセスがスクリプトで実行されるようにしました。これが私が書いたものです(BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE
ライアン・チーズマン
ソース
リセットしてアップロードし、プルダウンして変更されたことを確認します。いいですね、+ 1。ああ、待ってください:引き戻さないのですか?powershellはありませんか?おそらくpowershellで完全なサイクルを実装できます。
MDMoore313 2017
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.