T480 UEFI設定でTPMを非アクティブ化すると、ビットロッカーにどのような影響がありますか? TPMはクリアされていますか?
私のLenovo T480は、Bitlockerで保護されたWindows 10インストールを実行しています。 Bitlockerは、ハードウェアに変更があった場合にシステムをロックする(パスキーを要求する)ように構成されています。 Bitlocker保護を変更せずにそのままにしたいのですが、(Bitlocker構成を変更せずに)Linuxまたは別のSSDから別のWin10にデュアルブートできます。 UEFI設定に完全にアクセスできます。
私が理解している限り、bitlockerはTPMにポリシーのようなものを配置し、それがラップトップをロックします。 Windowsドライブが物理的に切断されている場合でも、TPMで実行されたビットロッカーのビットにより、ブートローダーの実行が停止します。
これが私が行き詰まるところです。Windowsドライブを交換して別のOSを使用できるようにしたいのですが、現在のTPM構成をいじらないと(私が理解している限り)これを行うことはできません。
T480のUEFI設定には、TPMを非アクティブ化するオプションがあります。それはTPMをクリアしますか?これにより、Windowsインストールが使用できなくなります。 TPMを再度アクティブにするまで、TPMを無効にしますか? TPMを無効にし、Linuxドライブを使用してから、TPMを再度有効にすると、Bitlocker/TPMはWindowsインストールをロックしますか?
編集:今のところ、Windows 10の2番目のコピーが機能するデュアルブートを取得しようとしています。最初のハードディスクが切断されている場合でも、USBキーを要求する青いbitlocker画面が表示されます。
Edit2:解決しました。 UEFIでTPMを「非表示」に設定したときに何が起こるか試したことはありません。要約すると、セットアップは次のとおりです。
- ディスク1上のWin10、ビットロッカーがアクティブで、ハードウェアの変更検出によって保護されたTPMに保存されたキー
- ディスク2上のWin10、ビットロッカーなし
私はdisk2をインストールし、disk1で起動するまでそれをうまく使用できました。その後、disk2を起動できませんでした。 TPMにより、ビットロッカーを使用していたディスクとは異なるディスクを起動できないと誤解しました。実際、disk1は、すべてのドライブをビットロッカーで保護し、disk2を暗号化する必要があると判断しました。その後、disk2はそれ自体でロックを解除できず(おそらく、bitlockerが使用したマスターキーがdisk1にあったため)、bitlockerエラーで起動できませんでした。 disk1の管理者権限がないため、disk1からdisk2のビットロッカーをオフにできませんでした。代わりに、ディスク2にWin10を再インストールし、disk2が接続されている間はdisk1を起動しないように注意します。
私が理解している限り、bitlockerはTPMにポリシーのようなものを配置し、それがラップトップをロックします。 Windowsドライブが物理的に切断されている場合でも、TPMで実行されたビットロッカーのビットにより、ブートローダーの実行が停止します。
いいえ。BitLockerとセキュアブートを混同しないでください。 TPMの内容について誤解しないでください。
具体的には、TPMに入るBitLockerの唯一のビットは復号化キーディスクのマスターキー用。
TPMは、本質的には、スマートカードのような、改ざん防止の安全なストレージの場所です。それは受動的であり、それ自体でシステムの残りの部分に影響を与えることはできません。独自のファームウェアがありますが、OSが提供するコードを保存または実行しません。これは主に暗号化操作に限定されています。 OSは、TPMにデータの暗号化または復号化を要求できます。
すでに発見したように、TPMには、現在のシステム状態で封印されたデータを保存する機能もあります(たとえば、起動元のドライブ、UEFIによって報告されたブートローダーハッシュ、およびブートローダー自体によって報告されたOS /カーネルハッシュ)。このコンテキストでの「ポリシー」とは、OSが要求した場合に、保存されたデータの解放がいつ許可されるかをTPMに通知する一連の条件です。
BitLockerは、ディスク暗号化のためのWindowsのシステムです。それは誰かがキーを知らずにyourWindowsドライブにアクセスするのを防ぎますが、システムitselfを防ぎません他のドライブから他のOSを起動するなど、他のことをすることから。
BitLockerは、TPMをキーを格納する場所として使用できます。キーは、実行している正確なOSに対して封印されています。別のドライブから起動するか、ブートローダーを何らかの方法で変更しようとすると、TPMはキーの解放を拒否し、BitLockerは回復パスワードを要求します。
ただし、TPMを使用してaskTPMを実行しないOSを起動して、そのデータを開封しても、何も起こりません。 OSは通常どおりに起動するだけです。TPMはそれを積極的に防止しようとしません。
セキュアブートは、UEFIロックダウンシステムです。canは、システムが「信頼できない」ブートローダーとオペレーティングシステムを起動するのを積極的に防ぎます。これは、カスタマイズは可能ですが、通常は「Microsoftによって署名されていない」ことを意味します。
(デフォルトモードのセキュアブートは特定のOSインストールにバインドしないことに注意してください。認識可能な署名を持つanyOSをブートします。これにはLinuxブートローダーも含まれます「シム」と呼ばれます。)
セキュアブートは、TPMがなくてもシステムに存在できます。同様に、TPMは、セキュアブートがないシステム、または実際にはUEFIがないシステムに存在できます。
一部の製造元(HPなど)は、TPMメモリを使用してセキュアブート設定を保存し、通常の「バッテリーを取り外してファームウェア設定をクリアする」トリックから除外しています。これはまだTPMをスマートカード以外のものに変えません。
Windowsドライブを交換してLinuxを使用できるようにしたいのですが、現在のTPM構成をいじらなければ(私が理解している限り)それを行うことはできません。
いいえ、TPMを有効にして自由にデュアルブートできます。 (前述のように、TPMはパッシブです。)実際、Linuxに同じTPMを使用してLUKSディスク暗号化用の独自のキーを封印することもできます。
ただし、現在Linuxが起動できない場合は、Secure Bootを無効にする必要がある場合があります。
セキュアブート設定を変更すると、WindowsがBitLockerキーにアクセスできなくなりますが、クリアされません。後でセキュアブートを再度有効にしてアクセスを回復できます–またはセキュアブートを永続的に無効にして、Windowsに新しいキーをTPMに保存させることができます。 (これは、BitLocker回復キーを入力するとすぐに自動的に行われます。)
実際にリカバリキーを持っていることを確認してくださいbeforeこれを試してください。
それはTPMをクリアしますか?
公式の「T480ユーザーガイド」はunclearですが、マニュアルにと記載されているため、TPMのコンテンツはそのままであると思います。/separate「TPMの内容をクリアする」オプション。 TPMを無効にするとクリアされた場合、2つのオプションは冗長になります。
これにより、Windowsインストールが使用できなくなります。
いいえ、それはBitLocker回復キーを入力する必要があることを意味するだけです。
回復キーを使用してドライブのロックを解除すると、BitLockerは自動的に新しいキーを作成し、TPMに再度保存し(有効になっている場合)、新しいシステム状態に対して再封印します。
回復キーがない場合は、TPMまたはセキュアブート設定をいじり始める前に、manage-bde -protectorsを使用して回復キーを取得します。 コントロールパネルから を取得することもできます Microsoftアカウントに保存されています 。
_Security Chip_を_Active/Inactive/Disabled_(T440s)に設定できます。これは何もクリアしません。ただし、オプション_Clear Security Chip_は明らかに暗号化キーをクリアし、_Security Chip Selection_をDiscrete TPM (TPM 1.2)からIntel PTT (TPM 2.0)に変更するとクリアされます(ポップアップが開き、「すべての暗号化キーがクリアされますセキュリティチップ内。続行しますか?[はい]/[いいえ] ")。