Bitlocker回復パスワードを読み取り不可/回復不能にする方法は?
TPM2.0 + Bitlocker + PINを使用してSSDをWindows10 Professionalで暗号化します。回復パスワードをバックアップして続行しました。暗号化が完了し、2回再起動した後、コンソールに書き込むことができます。
manage-bde -protectors -get c:
、そしてそれは私に平文(!!!)回復パスワードを示します:
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
2019年のTPMによるディスク暗号化のプレーンテキストパスワード?本当に?では、なぜTPMが必要なのですか?
問題を解決するためにmanage-bdeで何かを見つけようとしましたが、うまくいきませんでした。
それを非表示にしたり、回復不能にしたりする方法はありますか(たとえば、パスワードのみがハッシュ保存され、プレーンテキストではない場合)?
TPM(この場合)の目的は、ユーザーの介入なしにシステムを自動的に起動できるように、復号化キーを安全に保持することです。システムは、(ハードドライブの取り外しを含むようなリカバリシナリオの場合)リカバリキーを取得する方法を提供しているだけですが、安全な方法で取得します。まず、システムを取得するために正常に起動する必要があり(したがって、復号化プロセスを実行する)、次に、管理アクセスが必要です。