Le TPM a dû être ré-initialisé: un nouveau mot de passe de récupération doit-il être téléchargé sur AD?

8

D'une manière ou d'une autre, la machine d'un utilisateur n'a pas pu lire le mot de passe bitlocker de la puce TPM, et j'ai dû entrer la clé de récupération (stockée dans AD) pour y entrer. Pas grand-chose, mais une fois dans la machine, je a essayé de suspendre bitlocker selon la documentation de récupération et a reçu un message d'erreur indiquant que le module de plateforme sécurisée n'était pas initialisé. Je savais que le TPM était activé et activé dans le BIOS, mais Windows m'a quand même fait réinitialiser la puce TPM, et dans le processus, il a créé un nouveau mot de passe propriétaire du TPM.

J'ai trouvé cela étrange parce qu'il m'a incité à enregistrer ce mot de passe ou à l'imprimer (il n'y avait pas d'option de ne pas le faire), mais il n'a fait aucune référence à un mot de passe de récupération, ni n'a sauvegardé ce mot de passe dans AD.

Après que l'utilisateur a pris son ordinateur portable et est parti, j'ai commencé à penser que si le mot de passe du TPM change, le mot de passe de récupération change-t-il également? Si tel est le cas, ce nouveau mot de passe de récupération devra être téléchargé vers AD, mais la documentation de MS ne le précise pas et ne sauvegarde pas automatiquement la nouvelle clé de récupération (si elle existe) dans AD lorsque la stratégie de groupe le dit. doit, et d'un point de vue réseau AD est accessible.

MDMoore313
la source

Réponses:

11

Lorsque BitLocker crypte un lecteur, il conserve la clé de cryptage principale sur le lecteur lui-même, mais pas en texte brut. Le mot de passe maître est lui-même chiffré par des "Protecteurs". Chacun d'eux conserve une copie distincte de la clé principale car seul le protecteur qui l'a chiffrée peut déchiffrer cette copie de la clé principale.

Lorsque Windows crypte un volume via l'interface graphique, il crée généralement deux protecteurs: un mot de passe de récupération (RP) et une clé TPM. Comme indiqué ci-dessus, ceux-ci sont stockés complètement séparément. Si le GPO est configuré chaque fois qu'un RP est créé, il est stocké dans AD. Ceci est complètement automatique et si le GPO est configuré, un RP ne peut pas être enregistré sur le disque sans téléchargement sur AD (c.-à-d., Aucune création de RP hors ligne car AD ne serait pas disponible).

Je suggère fortement d' abandonner l'interface graphique. Il passe trop de temps sur la fonction de BitLocker pour un administrateur système, et le fonctionnement réel de BitLocker n'est vraiment pas si compliqué. L'utilitaire CLI manage-bdeest fourni avec chaque version de Windows qui prend en charge BitLocker. C'est assez simple, bien que la syntaxe soit un peu verbeuse.

Pour voir ce que fait le lecteur de l'ordinateur portable en ce moment, lancez simplement manage-bde -status C:. En ce qui concerne les problèmes de TPM, après avoir déverrouillé le PC et démarré Windows, je lance toujours manage-bde -protectors -get C:, copiez l'ID du protecteur TPM (y compris les supports), puis exécutez manage-bde -protectors -delete C: -id {the_id_you_copied}et enfin manage-bde -protectors -add C: -tpm. C'est 30 secondes de travail de plus, mais vous savez exactement ce qu'il fait et où vous vous situez par la suite.

Chris S
la source
Parfait. Je connais bien manage-bde, mais comme nous déployons toujours bitlocker dans notre environnement, il est encore assez nouveau ici et je n'ai pas pensé à l'utiliser. Je l'ai configuré de manière à ce que sur nos nouvelles machines, nous activions le tpm et le bitlocker pendant notre processus de création d'image (sccm), jusqu'à présent, nous avions peu de machines qui devaient être déverrouillées manuellement.
MDMoore313
Tout cela me revient maintenant: un protecteur est stocké sur la clé TPM pour déchiffrer le mot de passe principal qui est stocké sur le chargeur de démarrage (je suppose), et si ce n'est pas accessible, la clé de récupération doit être entrée pour déchiffrer le clé principale, mais la clé principale elle-même n'est pas stockée sur la puce TPM. Est-ce que c'est l'essentiel?
MDMoore313
1
Oui, c'est ça. Il est assez rare que je doive déverrouiller une machine (la plupart du temps, le développeur ne joue pas avec les paramètres qu'il ne devrait pas être). Je reçois des appels semi-fréquemment lorsque les gens laissent des clés USB amorçables dans leurs machines, cependant, le TPM devient délicat à propos de nouveaux supports de démarrage comme celui-ci (et une fois que le TPM est énervé, vous devez éteindre complètement ou il restera énervé).
Chris S
Oui, elle était un bricoleur, mais nous avons commencé à utiliser les mots de passe du BIOS pour empêcher ce genre de chose `` réinitialiser aux paramètres par défaut '' (ce n'était peut-être pas le cas ici mais quand même), ce qui ferait des ravages dans notre environnement.
MDMoore313
1
Nous utilisons des ordinateurs portables HP et mettons à jour le BIOS (si nécessaire) et y flashons une configuration "standard" (y compris le logo et le mot de passe de l'entreprise) lorsque l'ordinateur portable est imagé à l'aide de l'utilitaire HPQflash (dans les packages du BIOS que vous obtenez d'eux) et bcu ( Utilitaire de configuration du BIOS). Je serais surpris si Dell n'avait pas quelque chose de similaire.
Chris S
3

Je sais que c'est vieux, je suis arrivé ici à la recherche d'autre chose, mais d'après mon expérience, le téléchargement automatique vers AD après un changement comme celui-ci n'est pas toujours réussi. J'ai été mordu au travail plusieurs fois à cause de cela. Après la deuxième fois, j'ai décidé de scripter le processus de téléchargement pour s'assurer qu'il se produise au lieu de dépendre du processus de téléchargement automagique qui est censé se produire. Voici ce que j'ai écrit (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE
Ryan Cheesman
la source
Réinitialisez, téléchargez-le, puis tirez-le vers le bas pour vous assurer qu'il a été modifié. Sonne bien, +1. Oh, attendez: vous ne le rabaissez pas? Pas de PowerShell? Vous pourriez probablement implémenter le cycle complet avec PowerShell.
MDMoore313