O TPM teve que ser reintializado: Uma nova senha de recuperação precisa ser carregada no AD?

8

De alguma forma, a máquina de um usuário não conseguiu ler a senha do bitlocker do chip TPM, e eu tive que inserir a chave de recuperação (armazenada no AD) para entrar. Não é grande coisa, mas uma vez na máquina, eu tentou suspender o bitlocker por documentação de recuperação e recebeu uma mensagem de erro sobre o TPM não estar sendo inicializado. Eu sabia que o TPM estava ativado e ativado no BIOS, mas o Windows ainda me fez reinicializar o chip TPM e, no processo, criou uma nova senha de proprietário do TPM.

Achei isso estranho, porque me levou a salvar essa senha ou imprimi-la (não havia uma opção para não fazê-lo), mas não fez referência a uma senha de recuperação, nem fez o backup dessa senha no AD.

Depois que o usuário pegou o laptop e saiu, comecei a pensar que, se a senha do TPM for alterada, a senha de recuperação também será alterada? Nesse caso, essa nova senha de recuperação precisará ser carregada no AD, mas a documentação da MS não esclarece isso e não faz backup da nova chave de recuperação (se houver) no AD automaticamente quando a política de grupo diz isso. deve, e do ponto de vista da rede, o AD está acessível.

MDMoore313
fonte

Respostas:

11

Quando o BitLocker criptografa uma unidade, mantém a chave de criptografia principal na própria unidade, embora não em texto sem formatação. A senha mestra é mantida em si criptografada por "Protetores". Cada um deles mantém uma cópia separada da chave mestra, pois apenas o protetor que a criptografou pode descriptografar essa cópia da chave mestra.

Quando o Windows criptografa um volume por meio da GUI, ele geralmente cria dois protetores: uma Senha de Recuperação (RP) e uma chave TPM. Como observado acima, eles são armazenados completamente separadamente. Se você tiver o GPO configurado sempre que um RP for criado, ele será armazenado no AD. Isso é totalmente automático e se você tiver o GPO configurado, um RP não poderá ser salvo no disco sem fazer o upload para o AD (ou seja, nenhuma criação de RP offline, pois o AD não estaria disponível).

Eu sugiro fortemente abandonar a GUI. Ele encobre demais a função do BitLocker para um administrador de sistema, e a operação real do BitLocker realmente não é tão complicada. O utilitário CLI manage-bdevem com todas as versões do Windows que oferecem suporte ao BitLocker. É bem simples, embora a sintaxe seja um pouco detalhada.

Para ver o que a unidade do laptop está fazendo agora, basta executar manage-bde -status C:. Quanto aos problemas do TPM, depois de desbloquear o PC e inicializar o Windows, eu sempre corro manage-bde -protectors -get C:, copie o ID do protetor do TPM (incluindo colchetes), depois execute manage-bde -protectors -delete C: -id {the_id_you_copied}e finalmente manage-bde -protectors -add C: -tpm. São 30 segundos a mais de trabalho, mas você sabe exatamente o que está fazendo e exatamente onde está depois.

Chris S
fonte
Perfeito. Eu estou familiarizado com o manage-bde, mas como ainda estamos lançando o bitlocker em nosso ambiente, ainda é muito novo aqui e não pensei em usá-lo. Eu o configurei para que, em nossas novas máquinas, habilitemos o tpm e o bitlocker durante o processo de criação de imagens (sccm), até esse ponto, tínhamos poucas máquinas que precisavam ser desbloqueadas manualmente.
precisa saber é o seguinte
Tudo isso está voltando para mim agora: um protetor está armazenado na chave TPM para descriptografar a senha mestra armazenada no carregador de inicialização (eu acho) e, se não estiver acessível, a chave de recuperação deve ser inserida para descriptografar o chave mestra, mas a chave mestra em si não é armazenada no chip TPM. Essa é a essência disso?
MDMoore313
1
Sim, é isso. É muito raro ter que desbloquear uma máquina (principalmente os desenvolvedores mexendo nas configurações que não deveriam ser). No entanto, recebo chamadas com muita frequência quando as pessoas deixam dispositivos USB inicializáveis ​​em suas máquinas, o TPM fica sensível a novas mídias inicializáveis ​​como essa (e quando o TPM está irritado, é preciso desligar completamente ou ele fica irritado).
Chris S
Sim, ela era uma mexicana, mas começamos a usar senhas do BIOS para impedir que esse tipo de coisa de 'redefinição para o padrão' aconteça (pode não ter sido o caso aqui, mas ainda assim), o que causaria estragos em nosso ambiente.
MDMoore313
1
Usamos os laptops HP e atualizamos o BIOS (se necessário) e exibimos uma configuração "padrão" (incluindo o logotipo e a senha da empresa) quando o laptop recebe imagens usando o utilitário HPQflash (nos pacotes de BIOS que você obtém deles) e bcu ( Utilitário de configuração do BIOS). Eu ficaria surpreso se a Dell não tivesse algo parecido.
Chris S
3

Sei que isso é antigo, cheguei aqui à procura de outra coisa, mas, na minha experiência, o upload automático para o AD após uma alteração como essa nem sempre é bem-sucedido. Fui mordido no trabalho várias vezes por causa disso. Após a 2ª vez, decidi criar um script para o processo de upload para garantir que isso aconteça, em vez de depender do processo de upload automagic que deveria acontecer. Aqui está o que eu escrevi (BitLocker_UploadToAD.cmd):

@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE  (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE
Ryan Cheesman
fonte
Redefina, faça o upload e puxe-o novamente para baixo para garantir que foi alterado. Parece bom, +1. Oh, espere: você não puxa de volta? Nenhum powerhell? Você provavelmente poderia implementar o ciclo completo com o PowerShell.
MDMoore313