È stato necessario reintializzare il TPM: è necessario caricare una nuova password di ripristino in AD?

In qualche modo, la macchina di un utente non è stata in grado di leggere la password del bitlocker dal chip TPM e ho dovuto inserire la chiave di ripristino (memorizzata in Active Directory) per accedere. Nessun problema, ma una volta nella macchina, ho ha provato a sospendere il bitlocker per documentazione di recupero e ha ricevuto un messaggio di errore sul TPM non inizializzato. Sapevo che il TPM era acceso e attivato nel BIOS, ma Windows mi ha ancora fatto reinizializzare il chip TPM e nel frattempo ha creato una nuova password del proprietario del TPM.

L'ho trovato strano perché mi ha spinto a salvare questa password o stamparla (non c'era un'opzione per non farlo), ma non ha fatto riferimento a una password di recupero, né ha restituito questa password ad AD.

Dopo che l'utente ha preso il suo laptop e me ne sono andato ho iniziato a pensare che se la password del TPM cambia, cambia anche la password di ripristino? In tal caso, la nuova password di ripristino dovrà essere caricata in AD, ma la documentazione di MS non lo chiarisce e non esegue il backup della nuova chiave di ripristino (se presente) in AD automaticamente quando la politica di gruppo lo dice deve e dal punto di vista della rete è accessibile AD.

Quando BitLocker crittografa un'unità, mantiene la chiave di crittografia master sull'unità stessa, sebbene non in testo normale. La password principale viene mantenuta crittografata da "Protettori". Ognuno di questi mantiene una copia separata della chiave principale poiché solo il protettore che l'ha crittografata può decrittografare quella copia della chiave principale.

Quando si dispone di Windows crittografare un volume tramite la GUI, in genere vengono creati due protettori: una password di ripristino (RP) e una chiave TPM. Come notato sopra, questi sono memorizzati completamente separatamente. Se l'oggetto Criteri di gruppo è configurato ogni volta che viene creato un RP, questo viene archiviato in AD. Ciò è completamente automatico e se l'oggetto Criteri di gruppo è configurato, non è possibile salvare un RP su disco senza caricarlo su AD (ovvero, non sarebbe possibile creare una RP non in linea poiché AD non sarebbe disponibile).

Consiglio vivamente di abbandonare la GUI. Si sorvola la funzione di BitLocker troppo per un amministratore di sistema, e l'effettivo funzionamento di BitLocker in realtà non è poi così complicato. L'utilità CLI manage-bdeviene fornita con ogni versione di Windows che supporta BitLocker. È piuttosto semplice, sebbene la sintassi sia un po 'dettagliata.

Per vedere cosa sta facendo il drive del laptop in questo momento, semplicemente esegui manage-bde -status C:. Per quanto riguarda i problemi di TPM, dopo aver sbloccato il PC e avviato Windows manage-bde -protectors -get C:, corro sempre , copio l'ID per la protezione TPM (comprese le parentesi), quindi eseguo manage-bde -protectors -delete C: -id {the_id_you_copied}e infine manage-bde -protectors -add C: -tpm. Ci vogliono 30 secondi in più di lavoro, ma sai esattamente cosa sta facendo e esattamente dove ti trovi dopo.

So che è vecchio, sono arrivato qui alla ricerca di qualcos'altro, ma nella mia esperienza il caricamento automatico su AD dopo una modifica del genere non ha sempre successo. Sono stato morso al lavoro più volte per questo motivo. Dopo la seconda volta, ho deciso di scrivere il processo di upload per assicurarmi che avvenga invece di dipendere dal processo di upload automagic che dovrebbe accadere. Ecco cosa ho scritto (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE