T480 UEFI 설정에서 TPM 비활성화는 비트 로커에 어떤 영향을 줍니까? TPM이 지워 집니까?

Lenovo T480은 Bitlocker 보호 Windows 10 설치를 실행합니다. 하드웨어가 변경되면 Bitlocker는 시스템을 잠그도록 구성됩니다 (패스 키 요청). Bitlocker 보호 기능을 그대로 유지하고 수정하지 않고 Bitlocker 구성을 변경하지 않고 다른 SSD에서 Linux 또는 다른 Win10으로 이중 부팅 할 수 있습니다. UEFI 설정에 대한 전체 액세스 권한이 있습니다.

내가 이해하는 한 bitlocker는 TPM에 정책과 같은 것을 배치 한 다음 랩톱을 잠급니다. Windows 드라이브가 물리적으로 연결이 끊어 지더라도 TPM에있는 비트 록커 비트는 부트 로더 실행을 중지합니다.

이것은 내가 붙어있는 곳입니다 .Windows 드라이브를 교체하고 다른 OS를 사용할 수 있기를 원하지만 현재 TPM 구성을 망칠 필요가 없습니다. (내가 이해하는 한).

T480의 UEFI 설정에는 TPM을 비활성화하는 옵션이 있습니다. 이것이 TPM을 지우나요? 그러면 Windows 설치를 사용할 수 없게됩니다. 다시 활성화 할 때까지 TPM을 비활성화합니까? TPM을 비활성화하고 Linux 드라이브를 사용한 다음 TPM을 다시 활성화하면 Bitlocker / TPM이 Windows 설치를 잠그나요?

편집 : 지금은 두 번째 Windows 10 복사본으로 이중 부팅을 시도하고 있으며 첫 번째 하드 디스크 연결이 끊긴 경우에도 파란색 비트 로커 화면이 표시되어 USB 키를 요구합니다.

편집 2 : 해결되었습니다. UEFI에서 TPM을 "숨겨 짐"으로 설정하면 어떤 일이 발생하지 않았습니다. 요약하면 설정은 다음과 같습니다.

• 디스크 1의 Win10, 비트 로커 활성화, TPM에 저장된 키는 하드웨어 변경 감지를 통해 보호
• 디스크 2의 Win10, 비트 록커 없음

disk2를 설치하고 disk1로 부팅 할 때까지 잘 사용할 수있었습니다. 그런 다음 disk2를 부팅 할 수 없었습니다. TPM으로 인해 bitlocker를 사용하는 것과 다른 디스크를 부팅 할 수 없다고 잘못 판단했습니다. 실제로 무슨 일이 있었는지 disk1은 모든 드라이브를 비트 로커로 보호하고 디스크 2로 암호화해야한다고 결정했습니다. 그 후 disk2는 자체적으로 잠금을 해제 할 수 없었으며 (아마도 bitlocker가 사용한 마스터 키가 disk1에 있었기 때문에) bitlocker 오류로 부팅하지 못했습니다. disk1에 대한 관리자 권한이 없으므로 disk1의 disk2에서 bitlocker를 끌 수 없습니다. 대신 disk2에 Win10을 다시 설치하고 disk2가 연결된 상태에서 disk1을 부팅하지 않도록주의합니다.

내가 이해하는 한 bitlocker는 TPM에 정책과 같은 것을 배치 한 다음 랩톱을 잠급니다. Windows 드라이브가 물리적으로 연결이 끊어 지더라도 TPM에있는 비트 록커 비트는 부트 로더 실행을 중지합니다.

아니요. BitLocker와 보안 부팅을 혼동하지 마십시오. TPM에서 무슨 일이 일어나는지 착각하지 마십시오.

특히 TPM에 들어가는 BitLocker 의 유일한 비트 는 디스크의 마스터 키에 대한 암호 해독 키 입니다.

• TPM은 본질적으로 스마트 카드와 같은 안전한 변조 방지 저장소를위한 장소입니다. 수동적이며 시스템 자체에 영향을 줄 수 없습니다. 자체 펌웨어가 있지만 OS 제공 코드를 저장하거나 실행하지 않습니다. 주로 암호화 작업으로 제한됩니다. 예를 들어 OS는 TPM에 데이터 암호화 또는 암호 해독을 요청할 수 있습니다.

  이미 검색 한대로 TPM에는 현재 시스템 상태 (예 : 부팅 한 드라이브, UEFI에서보고 한 부트 로더 해시 및 부트 로더 자체에서보고 한 OS / 커널 해시)로 봉인 된 데이터를 저장하는 기능도 있습니다. 이 문맥에서 "정책"은 OS가 요청하는 경우 저장된 데이터를 해제 할 수있는 시점을 TPM에 알리는 조건 세트입니다.

• BitLocker는 디스크 암호화를위한 Windows 시스템입니다. 키를 몰라도 사용자가 Windows 드라이브에 액세스 하지 못하도록하지만 다른 드라이브에서 다른 OS 부팅을 포함 하여 시스템 자체 가 다른 작업을 수행하는 것을 막지는 않습니다 .

  BitLocker는 TPM을 키를 저장하는 장소로 사용할 수 있으며 실행중인 정확한 OS에 대해 밀폐되어 있습니다. 다른 드라이브에서 부팅하거나 부트 로더를 변경하려고하면 TPM에서 키 해제를 거부하고 BitLocker가 복구 암호를 묻습니다.

  그러나 TPM에 해당 데이터의 봉인을 요구 하지 않는 OS를 부팅하면 아무 일도 일어나지 않습니다. OS는 평소와 같이 부팅됩니다. TPM은 적극적으로 방지하지 않습니다.

• 보안 부팅은 UEFI 잠금 시스템입니다. 그것은 수 있습니다 적극적으로 일반적으로 사용자 정의 할 수 있지만 "마이크로 소프트에 의해 서명하지"즉, "신뢰할 수없는"부트 로더 및 운영 체제를 부팅 시스템을 방지 할 수 있습니다.

  기본 모드의 보안 부팅은 특정 OS 설치에 바인딩되지 않으며 인식 가능한 서명이있는 모든 OS를 부팅 합니다 . 여기에는 "Shim"이라는 Linux 부트 로더도 포함됩니다.

보안 부팅은 TPM이 없어도 시스템에 존재할 수 있으며, 마찬가지로 보안 부팅이 없거나 실제로 UEFI가없는 시스템에 TPM이있을 수 있습니다.

일부 제조업체 (예 : HP)는 TPM 메모리를 사용하여 보안 부팅 설정을 저장하고 일반적인 "펌웨어 설정을 지우려면 배터리를 제거합니다"트릭에서 제외합니다. 이것은 여전히 ​​TPM을 스마트 카드 이외의 것으로 바꾸지 않습니다.

Windows 드라이브를 교체하고 Linux를 사용할 수 있기를 원하지만 현재 TPM 구성을 망가 뜨리지 않고는 할 수 없습니다 (내가 이해하는 한).

아니요, TPM이 활성화 된 상태에서 자유롭게 이중 부팅 할 수 있습니다. 언급 한 바와 같이 TPM은 수동적입니다. 실제로 Linux에서 동일한 TPM을 사용하여 LUKS 디스크 암호화를위한 자체 키를 봉인 할 수도 있습니다.

그러나 현재 Linux 부팅을 방해하는 경우 보안 부팅 을 비활성화해야 합니다.

보안 부팅 설정을 변경하면 Windows가 BitLocker 키에 액세스 할 수 없지만 지워지지는 않습니다. 나중에 Secure Boot를 다시 활성화하고 액세스 권한을 다시 확보 하거나 Secure Boot를 영구적으로 비활성화 된 상태로 유지하고 Windows가 TPM에 새 키를 저장하도록 할 수 있습니다. BitLocker 복구 키를 입력하자마자 자동으로 발생합니다.

이것을 시도 하기 전에 실제로 복구 키가 있는지 확인하십시오 .

이것이 TPM을 지우나요?

공식 "T480 사용자 안내서"에 대해서는 명확하지 않지만 매뉴얼에는 별도의 "TPM 내용 지우기"옵션이 나열되어 있으므로 TPM의 내용은 그대로 유지 될 것 입니다. TPM을 비활성화하면 해제 된 경우 두 옵션이 중복됩니다.

그러면 Windows 설치를 사용할 수 없게됩니다.

아니요, BitLocker 복구 키를 입력하면됩니다.

복구 키를 사용하여 드라이브의 잠금을 해제하면 BitLocker는 자동으로 새 키를 만들어 TPM에 다시 저장하고 (활성화 된 경우) 새 시스템 상태에 대해 다시 봉인합니다.

복구 키가없는 경우manage-bde -protectors TPM 또는 보안 부팅 설정으로 땜질을 시작하기 전에 복구 키 를 얻으십시오 . 제어판을 통해서도 구할 수 있으며 Microsoft 계정으로 저장 되기도 합니다 .

당신은 설정할 수 Security Chip로 Active/Inactive/Disabled(T440s). 이것은 아무것도 지우지 않습니다. 옵션이 그러나 Clear Security Chip분명히 암호화 키를 삭제하고 또한 변화 Security Chip Selection에서 Discrete TPM (TPM 1.2)에 Intel PTT (TPM 2.0)그렇게 할 것 (팝업이 열립니다 "모든 암호화 키가 보안 칩에 삭제됩니다. 당신이 정말로 계속 하시겠습니까? [예] / [아니오]").