TPM을 다시 초기화해야했습니다. 새로운 복구 암호를 AD에 업로드해야합니까?


8

어떻게 든 사용자의 컴퓨터가 TPM 칩에서 비트 로커 암호를 읽을 수 없었고 복구 키 (AD에 저장 됨)를 입력하여 들어가야했습니다. 복구 문서 당 비트 로커를 일시 중지하려고 시도했지만 TPM이 초기화되지 않았다는 오류 메시지가 나타납니다. BIOS에서 TPM이 켜져 있고 활성화되어 있음을 알았지 만 Windows는 여전히 TPM 칩을 다시 초기화하게했으며 그 과정에서 TPM 소유자 암호를 만들었습니다 .

이 암호를 저장하거나 인쇄하라는 메시지가 표시 되었기 때문에 (이상한 옵션은 없었 음) 이상한 점을 발견했지만 복구 암호를 참조하지 않았 으며이 암호를 AD까지 백업하지 않았습니다.

사용자가 랩탑을 가져간 후 TPM 암호가 변경되면 복구 암호도 변경 될 것이라고 생각하기 시작했습니다. 그렇다면 새 복구 암호를 AD에 업로드해야하지만 MS의 설명서에서는이를 명확하게 설명하지 않으며 그룹 정책에 따라 새 복구 키 (있는 경우)를 AD에 자동으로 백업하지 않습니다. 네트워크 관점에서 AD에 액세스 할 수 있어야합니다.

답변:


11

BitLocker는 드라이브를 암호화 할 때 일반 텍스트가 아닌 드라이브 자체에 마스터 암호화 키를 유지합니다. 마스터 암호는 "보호자"에 의해 자체 암호화됩니다. 이들 각각은 마스터 키의 사본을 해독 할 수 있으므로 마스터 키의 사본을 별도로 보호합니다.

Windows를 통해 GUI를 통해 볼륨을 암호화하면 일반적으로 복구 암호 (RP)와 TPM 키의 두 가지 보호기가 생성됩니다. 위에서 언급했듯이 이들은 완전히 별도로 저장됩니다. RP를 만들 때마다 GPO를 구성한 경우 GPO가 AD에 저장됩니다. 이는 완전 자동이며 GPO가 구성된 경우 AD에 업로드하지 않고 RP를 디스크에 저장할 수 없습니다 (즉, AD를 사용할 수없는 오프라인 RP 생성이 아님).

나는 강력하게 제안 GUI를 죽겠다. 그것은 시스템 관리자를 위해 너무 많이하는 BitLocker의 기능을 얼버무, BitLocker를 실제 작업은 정말 복잡 것이 아니다. CLI 유틸리티 manage-bde는 BitLocker를 지원하는 모든 버전의 Windows와 함께 제공됩니다. 구문이 약간 장황하지만 매우 간단합니다.

랩톱 드라이브가 현재 수행중인 작업을 보려면 간단히 실행하십시오 manage-bde -status C:. TPM 문제와 관련하여 PC 잠금을 해제하고 Windows를 부팅 한 후에는 항상 실행 manage-bde -protectors -get C:하고 TPM 보호기 (브래킷 포함)의 ID를 복사 한 다음 manage-bde -protectors -delete C: -id {the_id_you_copied}마지막으로 실행 manage-bde -protectors -add C: -tpm합니다. 30 초 더 일하지만, 당신은 그것이 무엇을하고 있는지, 그리고 정확히 어디에 서 있는지 알고 있습니다.


완전한. 나는 manage-bde에 익숙하지만, 우리 환경에서 여전히 비트 로커를 출시하고 있기 때문에 여전히 여기에서는 매우 새롭고 사용하지 않을 것이라고 생각했습니다. 새 컴퓨터에서는 수동으로 잠금을 해제해야하는 컴퓨터가 거의 없을 때까지 이미징 프로세스 (sccm) 동안 tpm을 활성화하고 비트 록커를 활성화하도록 설정했습니다.
MDMoore313

이 모든 것이 지금 다시 돌아옵니다. 보호자는 TPM 키에 저장되어 (추정 중) 부트 로더에 저장된 마스터 암호를 해독합니다. 액세스 할 수 없으면 복구 키를 입력하여 암호를 해독해야합니다. 마스터 키이지만 마스터 키 자체는 TPM 칩에 저장되지 않습니다. 그것의 jist입니까?
MDMoore313

1
그렇습니다. 컴퓨터를 잠금 해제 해야하는 경우는 거의 없습니다 (주로 개발자가 설정해서는 안되는 설정). 사람들이 컴퓨터에 부팅 가능한 USB 스틱을 남겨두면 전화가 자주옵니다 .TPM은 새로운 부팅 가능한 미디어에 대해 감동적입니다. (TPM이 화가 나면 전원을 완전히 꺼야하거나 계속 화가 나게됩니다).
Chris S

예, 그녀는 어설프게 행동했지만, 우리는 BIOS 암호를 사용하여 이런 종류의 '기본으로 재설정'이 일어나지 않도록 (여기서는 그렇지 않았지만 여전히) 환경에 혼란을 줄 수 있습니다.
MDMoore313

1
HP 랩탑을 사용하고 필요한 경우 BIOS를 업데이트하고 랩탑을 HPQflash 유틸리티 (BIOS 패키지에서 제공) 및 bcu ( BIOS 구성 유틸리티). 델에 비슷한 것이 없다면 놀랄 것입니다.
Chris S

3

나는 이것이 오래되었다는 것을 알고 여기에 다른 것을 찾고 있지만 내 경험에 따르면 AD에 자동 업로드하면 변경이 항상 성공적인 것은 아닙니다. 이 때문에 직장에서 여러 번 물린 적이 있습니다. 두 번째 시간이 지나면 자동 업로드 프로세스에 의존하는 대신 업로드 프로세스를 스크립팅하기로 결정했습니다. 다음은 내가 쓴 것입니다 (BitLocker_UploadToAD.cmd).

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE

재설정하고 업로드 한 다음 아래로 당겨서 변경되었는지 확인하십시오. 좋아, +1 아, 잠깐만 : 당신은 그것을 뒤로 당기지 않습니까? 파워 쉘이 없습니까? powershell을 사용하여 전체주기를 구현할 수 있습니다.
MDMoore313
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.