Причина блокировки TPM
У нас есть несколько устройств Surface Pro 3, развернутых с включенным BitLocker в режиме TPM + PIN. Устройства имеют микросхему TPM 2.0 и работают под управлением Windows 8.1 Pro.
У нас есть проблема, из-за которой пользователи иногда получают сообщение об ошибке «Слишком много неправильных попыток ввода PIN-кода» при вводе правильного PIN-кода. Затем они должны ввести ключ восстановления, чтобы продолжить процесс загрузки. Затем им необходимо вводить ключ восстановления каждый раз при загрузке устройства, пока мы вручную не сбросим блокировку TPM с помощью tpm.msc, что, очевидно, неудобно.
По какой-то причине TPM переходит в состояние блокировки, но не похоже, из-за неоднократных попыток неправильного ввода PIN-кода. Факт локаута не Если в конечном итоге тайм-аут, если вы оставите устройство включенным, также предполагает, что это произошло по какой-то другой причине, кроме достижения максимального количества неправильных попыток аутентификации. Насколько я понимаю, в спецификации TPM 2.0 указано, что это должно быть так, в отличие от спецификации TPM 1.2, которая оставила точное поведение на усмотрение поставщика.
Выполнение Get-Tpm указывает на то, что TPM определенно заблокирован состояние, но не предоставляет никакой информации о причине.
Кто-нибудь знает, могу ли я что-нибудь сделать, чтобы попытаться определить основную причину блокировок?
В конце концов, мне удалось немного продвинуться в устранении неполадок. Я постараюсь изо всех сил запомнить детали, но прошло какое-то время ...
К сожалению, речь идет о машинах с Windows 8, поэтому командлет Get-Tpm не возвращает информацию относительно счетчиков блокировки.В конце концов мне удалось собрать собственный сценарий для чтения этих счетчиков непосредственно из TPM, и, конечно же, счетчик блокировки достиг порогового значения. Это было так, даже если мы не ввели ПИН-код неправильно.
После долгих поисков я в конце концов наткнулся на раздел в спецификации TPM 2.0, в котором описан механизм, который почти наверняка вызывает проблему. Прежде чем я углублюсь в детали, было бы полезно немного рассказать о предыстории ... Прежде чем ОС сможет использовать TPM, она должна вызвать процедуру запуска TPM. Похоже, это происходит до отображения экрана PIN BitLocker. И наоборот, как только ОС завершит использование TPM, она должна вызвать процедуру завершения TPM. Windows, кажется, делает это во время последовательности выключения ОС.
Проблема возникает, когда система выключается без корректного завершения работы ОС. В этом сценарии процедура выключения TPM не вызывалась до отключения питания микросхемы. В спецификации TPM 2.0 указано, что если процедура запуска TPM вызывается без предварительного вызова процедуры завершения TPM, она должна увеличить счетчик блокировки на единицу. Эта функция существует для защиты от определенного типа атак на TPM. Поэтому, когда устройство снова включается, счетчик блокировки увеличивается на единицу, даже если пользователь вводит правильный PIN-код BitLocker.
В моем конкретном случае рассматриваемые устройства были планшетами Microsoft Surface Pro 3. Я догадывался, что пользователи удерживали кнопку питания нажатой, чтобы выключить машину, не выключая ее чисто. Обычно это не является большой проблемой, так как счетчик блокировок в конечном итоге снова уменьшится через два часа. Однако, если они делают это достаточно часто, счетчик блокировки не успевает уменьшиться. Проблема усугубляется тем фактом, что таймер, используемый для отслеживания времени уменьшения, сбрасывается, если машина выключена и снова включается, что означает, что он должен быть включен непрерывно в течение двух часов, прежде чем он уменьшится. Некоторые пользователи отключают свою машину только на короткое время.
Surface Pro 3 поддерживает то, что Microsoft называет «Connected Standby» или «InstantGo». Это функция, которая заставляет устройство вести себя как мобильное устройство с точки зрения управления питанием. При нажатии кнопки питания устройство переходит в режим пониженного энергопотребления, а не в обычный режим ожидания или сна. Однако мы переключили схему электропитания на «High Performance», что привело к отключению режима Connected Standby, заставляя устройство вести себя как традиционный ПК. Думаю, это может быть одной из причин проблемы.
Я прочитал объяснение, что TPM не имеет доступа для записи какого-либо журнала или причины блокировки на диск, к которому он запрещает доступ. Разумно. Объяснение причины также может представлять собой брешь в безопасности.
Единственная информация, которую я смог найти в этих строках, - это количество введенных неверных паролей. Откройте командную строку PowerShell с повышенными привилегиями и введите:
get-tpm
В отличие от обычной командной оболочки, у вас будут записи для LockoutCount и LockoutMax. Это даст вам подсчет количества введенных неверных паролей. Я уверен, что пользователи убеждены, что они всегда вводят правильный пин, но я обнаружил, что обычно это недопонимание.
При этом есть МНОЖЕСТВО других причин блокировки. https://technet.microsoft.com/en-us/library/dn383583 (v = ws.11) .aspx В частности, "Что вызывает восстановление Bitlocker?" Все, что угодно, от вставки компакт-диска до полной разрядки аккумулятора устройства, может вызвать блокировку. Это то, что я пытаюсь решить, сочетая обучение пользователей, обучение службы поддержки,и оценка того, какие параметры групповой / локальной политики следует изменить. https://technet.microsoft.com/en-us/library/jj679890 (v = ws.11) .aspx