我有一台ThinkPad T14笔记本,操作系统是Win10 22H2专业版,大概使用两年多了,由于笔记本预装的系统是开启Bitlocker的,所以也开启了Bitlocker(当时系统也没有强制备份Bitlocker恢复秘钥,也就没备份)。最近由于工作上需要禁用BIOS的“安全启动”设置,所以就进入ThinkPad T14笔记本的BIOS禁用了“安全启动”,然后按F10保存设置。系统重新启动后,并没有进入系统,显示一个Bitlocker锁提示,如下图所示:
根据Bitlocker锁提示信息原因是禁用“安全启动”造成的,只要启用“安全启动”后就可以恢复并重新进入Windows系统。下面视频展示的启用“安全启动”后可正常进入系统的视频:
BIOS恢复配置后正常启动
但是由于ThinkPad T14笔记本的BIOS存在Bug,恢复配置后不一定能进入系统,如下视频所示:
BIOS恢复配置后BUG复现
BitLocker 驱动加密是集成在Windows Server 2008和Windows Vista及以后版本中的一个新的安全特性,它通过紧密集成在Windows操作系统中的方案,来帮助降低数据偷窃或丢失导致的泄露,被盗,或不正确地报废计算机硬件所带来的实际威胁。BitLocker 是一种全卷加密技术,如果计算机在所安装操作系统脱机时受损,则该技术可确保存储在此计算机上的数据不会暴露。 它是针对具有兼容的受信任的平台模块 (TPM) 微型芯片和 BIOS 的系统而设计的。 如果存在这些组件,则 BitLocker 将使用它们来增强对数据的保护,并帮助确保早期启动组件的完整性。 此功能通过加密整个卷来帮助防止数据被盗或未经授权查看。
简单来说,BitLocker会将Windows的安装分区或者其他用于保存文件的分区进行加密,并将密钥保存在硬盘之外的地方,并对早期启动组件完整性检查,合并到一起来增强数据保护。
下图是BitLocker基于TPM模式实现自动解密的原理图。
图解顺序的步骤如下:
1. BIOS 启动并初始化TPM。并measure firmware部分敏感内容和启动分区以及bootloader,将结果放入PCR组。
2.如果 PCR 值与期望值相匹配,则 TPM 将使用存储根密钥 (SRK) 对卷主密钥 (VMK) 进行解密。
3. 从卷中读取加密 FVEK,并使用解密 VMK 对其进行解密。
4. 访问磁盘扇区时,使用 FVEK 进行解密。
5. 为应用程序和过程提供解密数据。
其中SRK存储在TPM芯片中,它是整个过程的信任根。BitLocker通过检测PCR组,对主启动记录 (MBR) 代码、NTFS 启动扇区、NTFS 启动块、启动管理器和其他重要组件进行检查,如果被更改,则第2步将出错,BitLocker就要求输入恢复密钥值进行解锁。
从上面BItLocker解锁原理可知,禁用了BIOS的"安全启动"设置后,BitLocker在第2步检测PCR组时将出错,无法释放存储在TPM芯片中SRK。如果重新启用“安全启动”设置后,BitLocker检测PCR组将验证通过,存储在TPM芯片中SRK将会被释放,BitLocker将能够正常解密,正常进入Windows操作系统。现在BIOS存在Bug的情况时,在启用“安全启动”设置,未能正确恢复PCR组中对应的数据,验证失败,BitLocker无法获取存储在TPM芯片中SRK,进入无法解锁。如果找到问题所在,修复BIOS存在的Bug,进而使BitLocker能正常解锁,恢复因BitLocker恢复密钥丢失造成电脑数据丢失。
目前看来,针对同型号的这款ThinkPad T14笔记本应该都存在这个问题,都存在数据丢失的风险。我通过拨打联想客服电话反应这个问题,联想官方却以所购买的产品过保为由拒绝提供技术支持与解决方案,即使付费也是只给重做系统而已。联想对自身产品存在的问题,不积极寻求解决办法,推卸责任的态度实在让人无法恭维。另外,有兴趣的朋友,如果你用拥有ThinkPad笔记本并且开启了BitLocker可以按照视频步骤看看自己笔记本是否存在这样的Bug(测试前一定要保存好Bitlocker恢复秘钥)。
7976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
