it-swarm.com.de

Stellt das Löschen des TPM keine mit BitLocker verschlüsselten Daten zur Verfügung?

Ich habe in dieser Antwort erfahren, dass Windows ab Windows 10 v1607 das Festlegen, Speichern oder Ändern des TPM-Besitzerkennworts standardmäßig nicht zulässt. Die Möglichkeit, eine TPM-Sperre durch Eingabe des Besitzerkennworts zurückzusetzen, scheint also nicht mehr zu bestehen.

enter image description here

Die Alternative besteht darin, das TPM zu löschen. Das folgende Szenario:

  • BitLocker aktiviert mit TPM + PIN
  • im Laufe der Zeit wurde 256 Mal eine falsche PIN eingegeben
  • jetzt erlaubt TPM niemals mehr als einen PIN -Versuch, bevor die Sperre für mehrere Minuten aktiviert wird
  • während der TPM-Sperre kann der Wiederherstellungsschlüssel für den Zugriff auf das System verwendet werden

Ist es sicher, das TPM zu löschen, um den Zähler für falsche PIN Versuche zurückzusetzen? Gehen die mit BitLocker verschlüsselten Daten verloren? Der Warnbildschirm klingt ernst (siehe unten).

Wie bereits erwähnt, ist der Wiederherstellungsschlüssel verfügbar. Ich möchte jedoch vermeiden, dass ich es jedes Mal eingeben muss, wenn ich den Computer starte.

enter image description here

7
Frank Seifert

tl; dr:

Ist es sicher, das TPM zu löschen, um den Zähler für falsche PIN Versuche zurückzusetzen?

Nur wenn Sie den BitLocker-Wiederherstellungsschlüssel haben. Wenn Sie das TPM löschen, kann auf das verschlüsselte Laufwerk nur mit dem Wiederherstellungsschlüssel zugegriffen werden.

In Ihrem Fall sollte es also in Ordnung sein, den TPM-Chip zu löschen. Starten Sie anschließend neu und geben Sie den Wiederherstellungsschlüssel ein. In Windows können Sie den TPM-Chip wieder aktivieren und eine neue PIN festlegen.


Längere Erklärung:

In der Regel verwendet BitLocker (Ausnahme siehe unten) den TPM-Chip des Computers, um den zum Entschlüsseln des Startlaufwerks erforderlichen Schlüssel zu speichern. Wenn der TPM-Chip gelöscht wird, ist dieser Schlüssel (für immer) verloren. In diesem Fall besteht die einzige Möglichkeit, das Laufwerk zu entschlüsseln, in der Verwendung des BitLocker-Wiederherstellungsschlüssels. Dieser Schlüssel ist speziell für solche Fälle verfügbar.

Wenn Sie in der Praxis von einem mit BitLocker verschlüsselten Laufwerk booten und Windows feststellt, dass es die Schlüssel nicht vom TPM-Chip abrufen kann, werden Sie zur Eingabe des Wiederherstellungsschlüssels aufgefordert. Sie erhalten einen hässlichen Schwarz-Weiß-Bildschirm, auf dem Sie nach dem Schlüssel gefragt werden. Wenn Sie den richtigen Schlüssel eingeben, wird Windows normal gestartet. Wenn Sie den Schlüssel nicht eingeben können - Pech.

Weitere Informationen zur Funktionsweise von BitLocker finden Sie auch unter der folgenden Frage auf serverfault.com: TPM musste erneut initialisiert werden: Muss ein neues Wiederherstellungskennwort in AD hochgeladen werden?

Hinweis:

Es ist möglich, BitLocker ohne TPM zu verwenden, obwohl die Option zuerst aktiviert werden muss. In diesem Fall macht das Löschen des TPM keinen Unterschied. Es sieht jedoch so aus, als würden Sie BitLocker mit TMP verwenden, sodass dies in Ihrem Fall nicht zutrifft.

9
sleske

Ja, das TPM kann sicher gelöscht werden, wenn der Wiederherstellungsschlüssel verfügbar ist. Zur weiteren Unterstützung von @ sleskes Antwort finden Sie hier Auszüge aus einem Technet-Artikel zur Bitlocker-Wiederherstellung .

Was bewirkt die BitLocker-Wiederherstellung?

Die folgende Liste enthält Beispiele für bestimmte Ereignisse, bei denen BitLocker beim Versuch, das Betriebssystemlaufwerk zu starten, in den Wiederherstellungsmodus wechselt:

  • Ausschalten, Deaktivieren, Deaktivieren oder Löschen des TPM .

Was ist die BitLocker-Wiederherstellung?

Die BitLocker-Wiederherstellung ist der Vorgang, mit dem Sie den Zugriff auf ein mit BitLocker geschütztes Laufwerk wiederherstellen können, falls Sie das Laufwerk nicht normal entsperren können. In einem Wiederherstellungsszenario haben Sie die folgenden Optionen, um den Zugriff auf das Laufwerk wiederherzustellen:

  • Der Benutzer kann das Wiederherstellungskennwort eingeben. Wenn Ihre Organisation zulässt, dass Benutzer Wiederherstellungskennwörter drucken oder speichern, kann der Benutzer das 48-stellige Wiederherstellungskennwort eingeben, das er gedruckt oder auf einem USB-Laufwerk oder mit Ihrem Microsoft-Konto online gespeichert hat .

4
Frank Seifert