在安装 Windows 10 并针对 UEFI BIOS 模式进行配置的戴尔系统上,当系统重新启动时,BitLocker 可能会遇到无法开启或提示输入恢复密钥的问题。在系统也无法支持将 TPM 固件从版本 1.2 刷新至版本 2.0 时,可能会发生这种情况。本文介绍的解决方案可用于配置 BitLocker,以便在那些支持 Windows 10/UEFI 且不支持固件升级到 TPM 2.0 的戴尔系统上与 TPM 1.2 固件配合使用。
每次使用 Windows 10、UEFI 和 TPM 1.2 固件重新启动后,BitLocker 无法开启或提示输入恢复密钥
Latitude 12 Rugged (7202) 是目前配备 Windows 10/UEFI 和 TPM 1.2 固件的平板电脑的示例。默认情况下,BitLocker 在此配置中无法工作,并且此平台不支持 TPM 1.22.0 模式变更。以下解决方案已针对 7202 进行测试,通过将 BitLocker 配置文件中包含的 PCR 索引修改为默认的 UEFI 选项,允许在 UEFI 模式下将 BitLocker 与 TPM 1.2 配合使用。
注:PCR(平台配置寄存器)设置保护 BitLocker 加密密钥,以防止对度量的核心可信根 (CRTM)、BIOS 和平台扩展 (PCR 0)、选项 ROM 代码 (PCR 2)、主引导记录 (MBR) 代码 (PCR 4)、NTFS 引导扇区 (PCR 8)、NTFS 引导块 (PCR 9)、引导管理器 (PCR 10) 和 BitLocker 访问控制 (PCR 11) 进行更改。对于 UEFI 和标准 BIOS,BitLocker 配置文件中的默认值不同。
其他一些系统型号随附提供 Windows 7 降级和 TPM 1.2 固件,并完全支持升级到 Windows 10,但不允许 TPM 1.22.0 模式变更。
注:虽然 BitLocker 在传统启动模式下可与 TPM 1.2 固件配合使用,但戴尔仍建议在 UEFI 模式下使用 Windows 10,并在出厂时提供 UEFI 模式的 Windows 10。
解决问题的步骤
从管理 BitLocker 窗格禁用 BitLocker(如果当前已启用的话),并等待解密完成:
单击开始,键入管理 bitlocker,并选择顶部搜索结果(图 1):
图 1:管理 bitlocker 搜索结果
从“BitLocker 驱动器加密”控制面板窗格中,选择关闭 BitLocker(图 2):
图 2:BitLocker 驱动器加密控制面板
单击关闭 BitLocker 以确认(图 3):
图 3:关闭 BitLocker 确认
转至开始并搜索 gpedit.msc,然后单击顶部搜索结果,以在新窗口中打开本地组策略编辑器。
在左侧列中,浏览到“计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”(图 4):
图 4:gpedit 操作系统驱动器文件夹
然后,在右侧双击配置 TPM 平台验证配置文件以打开配置(图 5):
图 5:配置 TPM 平台验证配置文件设置
选择表示已启用的单选按钮。
取消选择除 0、2、4 和 11 之外的所有 PCR(图 6):
图6:已启用的 PCR 设置
注:更改 PCR 值之前,必须禁用 BitLocker。如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,则 TPM 将不会释放加密密钥来解锁驱动器,而且计算机将显示 BitLocker 恢复控制台。
依次选择应用和确定以关闭 gpedit。
开启 BitLocker 并在加密完成后重新启动。
3617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
