題 BitLocker在安裝Ubuntu後要求保護代碼


我剛剛將Ubuntu並排安裝到新筆記本電腦上的Windows 10分區上。

意思是Windows 10附帶的筆記本電腦,我使用Ubuntu Desktop安裝ISO通過閃存驅動器安裝Ubuntu和Windows分區。

現在每次啟動Windows啟動管理器時,BitLocker都希望我輸入長BitLocker恢復密鑰。幾個問題 -

  1. 為什麼BitLocker會受到Ubuntu設置的新引導加載程序的影響?一個天真的想法是BitLocker解密密鑰存儲在主板TPM上,並且不受新的引導加載程序安裝的影響,這可能是正確的,否則Windows將無法再讀取自己的文件。那麼為什麼BitLocker現在甚至需要恢復密鑰呢?
  2. Ubuntu並排安裝說了一些關於擺弄啟動保護的內容,但無論是與TPM還是單獨的安全機制有關,它仍然難以捉摸。
  3. Ubuntu安裝程序甚至要求提供一個應該幫助重新建立安全啟動的密碼短語,但是在安裝後沒有Ubuntu和Windows啟動加載器啟動時,我沒有被提示在任何地方使用它。
  4. 如何讓BitLocker再次信任?在Windows 10中,我只看到一個完全禁用磁盤加密的選項,但我不確定為什麼它不能繼續下去。
  5. 關閉然後打開加密(在Windows中)似乎是一種矯枉過正,我不知道它是否會在它的同時擾亂我的Ubuntu分區。

在Windows中,在提供恢復密鑰後,我可以看到設備加密已打開。所以我的理解是我的Windows分區仍然在解密它自己的文件,而我的Ubuntu分區並沒有要求 TPM 寫入時加密文件,讀取文件時解密。


5
2017-12-20 18:18


起源


“那麼為什麼BitLocker現在甚至需要恢復密鑰?” - 您更改了啟動配置。所以基本上,你打破了信任,恢復密鑰是備份方法 - Ramhound
因為你沒有做任何事情來恢復信任。恢復密鑰只是讓你啟動配置仍然破壞。我的建議可能會重新獲得這種信任,但Ubuntu再次不了解Bitlocker - Ramhound
如果你關閉它,你可以重新打開它,只是說。 - Ramhound
您的關聯問題適用於加密卷。您的設置不同 - Ramhound
@Ramhound - 默認情況下啟用BitLocker設備加密,因為Windows 8.1具有適當的硬件並且用戶使用Microsoft帳戶登錄,並且Windows 10進行了擴展。 docs.microsoft.com/en-us/windows/device-security/bitlocker/...   - 對於OP,您是否在系統上禁用了安全啟動,以便安裝Linux? - Appleoddity


答案:


在評論中善良的人們的幫助下,我能夠優雅地解決問題。這是優雅的解決方案, 取自這裡

為了讓BitLocker重新獲得信任,我只是禁用然後重新啟用BitLocker:

C:\Windows\system32\manage-bde.exe" -protectors -enable c:

C:\Windows\system32\manage-bde.exe" -protectors -disable c:

我假設現在Windows通過TPM使用BitLocker和磁盤加密,就像以前一樣,Ubuntu根本沒有。

可以安裝一些使它工作的Ubuntu東西 喜歡 BitLocker(因此可能也支持在Windows和Ubuntu之間共享分區),但我認為目前Ubuntu不使用TPM硬件,因此它會將整個加密密鑰存儲在磁盤上,從而破壞了加密的目的,所以不值得我猜。

因此,BitLocker意識到了引導操作,即使TPM集成保持不變,也有理由使其等待信任重新獲得事件。輸入保護密鑰然後在Windows中使用上面的幾個命令,使其重新進入信任狀態,重新獲得正常操作。


0
2017-12-20 19:33



這並沒有解決問題,因為它只是用最後一個命令來解除Bitlocker。因此,您將最終使用禁用的Bitlocker,這就是為什麼它不會再次要求恢復密鑰。 - SailAvid
我遇到了同樣的問題(總是要求恢復密鑰)。我嘗試了你建議的-disable命令,它啟動得很好,但是當我再次啟用它時,它要求輸入密鑰。我的問題是:永久禁用bitlocker會產生你所知道的任何問題嗎?這是一個實用的解決方案? - Olivier Bégassat
@OlivierBégassat禁用BitLocker意味著不會對我相信的磁盤上的數據進行加密。 - Wojtek
@SailAvid +1,當我運行disable和enable(而不是啟用然後禁用)時,BitLocker仍在詢問我啟動時的密鑰。所以這個解決方案沒有幫助。 - Wojtek


我發現的唯一解決方案是更改BIOS中的啟動順序,讓Windows Bootloader位於頂部。這種方法使得啟動Ubuntu有點麻煩,因為我必須停止正常啟動並選擇選擇臨時啟動設備才能從那裡輸入grub。通過這種方式,我可以避免Bitlocker對grub感到生氣,並且如果我想使用Windows則要求輸入密鑰。 對我而言,這不是一個大問題,因為我主要使用Windows來完成我的大部分工作。


-2
2018-06-14 14:59