Каким-то образом пользовательская машина не могла прочитать пароль битлокера с микросхемы TPM, и мне пришлось ввести ключ восстановления (хранящийся в AD), чтобы войти. Ничего страшного, но, оказавшись в машине, я попытался приостановить работу BitLocker согласно документации по восстановлению и получил сообщение об ошибке о том, что TPM не инициализирован. Я знал, что TPM включен и активирован в BIOS, но Windows все равно заставила меня повторно инициализировать микросхему TPM, и в процессе она создала новый Пароль владельца TPM.
Мне это показалось странным, потому что он предлагал мне сохранить этот пароль или распечатать его (не было возможности не делать этого), но он не ссылался ни на пароль восстановления, ни на резервную копию этого пароля в AD.
После того, как пользователь взял свой ноутбук и ушел, я подумал, что если пароль TPM изменится, изменится ли пароль восстановления? Если это так, этот новый пароль восстановления необходимо будет загрузить в AD, но документация MS этого не делает ясным и не создает резервную копию нового ключа восстановления (если он существует) в AD автоматически, когда это указано в групповой политике. должен, и с точки зрения сети AD доступен.
Когда BitLocker шифрует диск, он сохраняет главный ключ шифрования на самом диске, но не в виде обычного текста. Мастер-пароль хранится в зашифрованном виде «Защитниками». Каждый из них хранит отдельную копию главного ключа, поскольку только предохранитель, который его зашифровал, может расшифровать эту копию главного ключа.
Когда у вас есть Windows для шифрования тома через графический интерфейс, она обычно создает два предохранителя: пароль восстановления (RP) и ключ TPM. Как отмечалось выше, они хранятся полностью отдельно. Если у вас настраивается GPO каждый раз, когда создается RP, он сохраняется в AD. Это полностью автоматический процесс, и если у вас настроен объект групповой политики, RP не может быть сохранен на диск без загрузки в AD (т. Е. Создание автономного RP невозможно, так как AD будет недоступен).
я настоятельно рекомендую отказавшись от графического интерфейса. Он слишком замалчивает функцию BitLocker для системного администратора и фактическую работу BitLocker. действительно не так уж и сложно. Утилита CLI manage-bde поставляется со всеми версиями Windows, поддерживающими BitLocker. Это довольно просто, хотя синтаксис немного многословен.
Чтобы увидеть, что сейчас делает диск ноутбука, просто запустите manage-bde -status C:. Что касается проблем с TPM, после разблокировки ПК и загрузки Windows я всегда запускаю manage-bde -protectors -get C:, скопируйте идентификатор предохранителя TPM (включая скобки), затем запустите manage-bde -protectors -delete C: -id {the_id_you_copied} и наконец manage-bde -protectors -add C: -tpm. Это на 30 секунд больше работы, но вы точно знаете, что он делает и где именно вы стоите после этого.
Я знаю, что это устарело, пришел сюда в поисках чего-то еще, но по моему опыту автоматическая загрузка в AD после такого изменения не всегда бывает успешной. Меня несколько раз кусали на работе из-за этого. После второго получения бита я решил создать сценарий для процесса загрузки, чтобы он происходил, а не зависел от процесса автоматической загрузки, который должен был произойти. Вот что я написал (BitLocker_UploadToAD.cmd):
@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE