BitLocker temppuilee läppärissä (Windows 10 Pro)

[Azaloom]

Syötin eilen illalla läppäriin BitLockerin salasanan käynnistyksessä *yhden* kerran väärin. Sen jälkeen kun yritin, se antaa joka kerta ilmoituksen, että yritysten maksimimäärä on saavutettu ja voit käynnistää uudelleen yrittääksesi uudelleen tai käyttää asemanpalautusta. Lukuisten uudelleenkäynnistysten jälkeenkään se ei anna yrittää salasanan syöttämistä kertaakaan, tai tarkemmin sanottuna, kun oikean salasanan syöttää, saa sen jälkeen saman viestin, kuin edellä. Ainoa vaihtoehto päästä eteenpäin on käyttää palautusta ja syöttää pitkä ryhmitelty merkkisarja. Kun tätä kautta pääsin Windowsiin, niin uudelleen käynnistysten tai sammutusten jälkeinen käynnistyksen BitLocker-salasanakysely jatkaa samaa temppuilua. Tämän jälkeen kun koitin BitLockerin poisaktivointia (keskeytä BitLocker-suojaus), uudelleenkäynnistin (ei salasanakyselyä) ja yritin aktivoida BitLockerin takaisin, niin se antaa linkin 2. kuvan mukaisen virheilmoituksen, että "Ohjattu alustus epäonnistui - TPM-turvapiiri puolustautuu sanakirjahyökkäyksiä vastaan, ja se on aikakatkaisujaksossa".

Kun en saanut eilen illalla konetta auki, enkä jaksanut kaivaa salauksen palautusavainta, niin ajattelin, että huomiseen mennessä varmasti antaa yrittää taas salasanan syöttöä, kuten joskus aiemmin on käynyt, mutta se siis heitti heti ensimmäisellä oikealla salasanan yrityksellä tuon varoituksen, että syöttöyritykset täyttyneet, joten jouduin lopulta käyttämään salauksen palautusavainta.

Mielestäni tuon toiminnassa on nyt jotain tavallisesta poikkeavaa ongelma. Olisihan tuon seuraavaan päivään mennessä kuulunut antaa yrittää taas salasanan syöttämistä, mutta kun ei. Ja sitten tuo varoitus TPM-turvapiirin puolustustilasta. Nyt en saa BitLockeria taas enää päälle, vaikka olen kirjautuneena järjestelmänvalvojana Windowsissa ja ongelmana on, ettei läppäriä oikein viitsi enää jättää valvomatta mihinkään, kun tietoihin vapaa pääsy esimerkiksi varastettaessa.

BitLocker temppuilee

0 new items added to shared album

photos.app.goo.gl

 

[Azaloom]

Voi helvetti. Vaikuttaa kovasti tältä (oireelta, että TPM-olisi mennyt jostain syystä solmuun):

How To Reinitialize Bitlocker and TPM

Bitlocker will sometimes get confused and the only solution is to decrypt the device and reset the TPM hardware. The symptom of this is having to repeatedly enter the 48 hex digit string to boot the system. A single entry of this key can be caused by any number of things, including a bad...

community.spiceworks.com

Toivottavasti kuitenkaan ei. Jätän koneen auki yöksi ja asetan niin, ettei se sammu tai mene virransäästö- tai horrostilaan, josko TPM-lukituksen aikakatkaisu päättyisi aamuun mennessä. Muussa tapauksessa koko aseman salaus pitäisi näemmä purkaa, TPM tyhjentää ja salaus tehdä uudelleen. Onneksi C-levy ei ole vain "kuin" 256 Gt.

 

[Azaloom]

Ei ollut tänään aamulla BitLockerin aikakatkaisulukitus auennut. No, laittelin tuon tänään ilmestyneen massiivisen 2004 päivityksen menemään, missä kesti ehkä tunnin verran. Siinä kun oli uudelleenkäynnistellyt ja asentanut päivityksen, niin BitLocker suojaus oli itsestään palannut takaisin päälle keskeytystilasta(?!). BIOS:n jälkeinen salasanakysely palasi ja salasanan syöttö toimi jälleen.

En tiedä opinko tästä mitään muuta kuin ehkä, että pitkää palautusavainta ei kannata pitää hirveän vaikeassa paikassa, jos koneelle pitää päästä nopeasti ja BitLocker päättää yllättäen temppuilla.

 

[Azaloom]

Ihan uusi asia, mutta menee täysin otsikon alle:
Uudessa Dellin Latitude -sarjan läppärissä olisi tarjolla Dell Support -sivujen kautta TPM firmware päivitys. Suorilta ajettuna päivitys antaa varoituksen, että TPM on owned-tilassa ja pitäisi tyhjentää päivittämistä varten. BIOS:sta kun tekee TPM:n tyhjennyksen (clear TPM ownership), niin seuraavalla Windowsiin käynnistämisellä päivityksen alun saa menemään eteenpäin ja sen jatkamista varten ohjelma resetoi koneen, mutta kun varsinainen firmisajo lähtee resetin jälkeen pyörimään BIOS-ruudun tilalla, antaa se saman varoituksen, eli että TPM on omistettu, eikä päivitystä voi tehdä. Tuo BIOS:sta käsin tehty cleared state pysyy siis vain seuraavan käynnistyksen ajan.

Ehdotuksia?

 

[mikajh]

Been there, done that jotain 2.3 vuotta sitten. Nyt kohta luultavasti samoin ajankohtainen, ellen tee BIOS+TPM-firmispäivityksiä ennen mahdollista BitLockerin käyttöönottoa.

En muista eksakteja steppejä ja ne olivat joka tapauksessa jo vanhemmalla Windows 10 -versiolla. Mutta Windows Security / Device security / Security processor / Security processor details / Security processor troubleshooting -paikassa on Clear TPM -nappi. Ilmeisesti tuolla pitää irrottaa Windows TPM-datasta, jotta firmispäivitykset saa maaliin. Mutta suosittelen Dellin ohjesteppien kaivelemista, niissä on turvallinen ja BIOS-kohtainen proseduuri varmaan kuvattu.

 

[Azaloom]

Jes. Löysinkin tuollaisen tpm.msc GUI:n ennen viestiäsi ja sitä kautta tyhjensin TPM:n->uudelleen käynnistys->firmispäivitysikkuna valmiiksi->tpm.msc tyhjennys uudelleen (jottei anna BIOS-ruudulla TPM owned -varoitusta) ja nopeasti ennen muutama sekunnin sisällä sen ajosta tapahtuvaa automaattista uudelleenkäynnistystä firmispäivitys tulille, mikä ehtii mennä juuri loppuun ennen Windowsin sammumista->firmispäivitys näyttää sujuvan BIOS-ruudun kohdalla ok.

Firmispäivitys GUI:ssa lukee tämän jälkeen nykyisenä versiona 0.74.0.64 ja tarjolla olevana päivityksenä 74.64.0.0. Muistaakseni nykyversiona oli jotain muuta ennen päivitystä, eli siis päivitys taisi mennä, vaikka sekava onkin. Nyt kun tuota proseduuria yrittää uudestaan, niin päivitysetenemispalkki jää BIOS-ruudun kohdalla kokonaan tulematta ja lukee vain välittömästi vihreällä update ok. Windows näyttää myös TPM versioksi 74.64..., eli ilmeisesti mennyt maaliin.