Невозможно установить режим TPM + PIN для Bitlocker (0x80310060)

Question

Я пытаюсь защитить наши ноутбуки Win10Pro Dell с помощью Bitlocker.
Мы хотели бы добавить начальный запрос PIN-кода.
Мы следим за множеством онлайн-статей, включающих Требуется дополнительная аутентификация наключ запуска и настройка Настройка ПИН-кода запуска TPM на Требуется ПИН-код запуска с TPM .
После этого я набрал команду

manage-bde -protectors -add c: -TPMAndPIN

, но мы всегда получаем ошибку:

ОШИБКА: произошла ошибка (код 0x80310060): параметры групповой политики не выполняютсяразрешить использование PIN-кода при запуске.Пожалуйста, выберите другой вариант запуска BitLocker.

Другим способом была команда командной строки:

manage-bde -on c: -UsedSpaceOnly -RecoveryPassword -RecoveryKey e:-TPMAndPIN 123456

, но снова 0x80310060.

Answer 1

OK.Вот что вам нужно сделать.Прежде чем начать с подробностей, позвольте мне выделить несколько различий между вашей средой и моей средой:

• Ниже приведены подробности для Windows 7 Ultimate
• Ниже приведены сведения для ключа запуска TPM +вместо ПИН-кода запуска

Эти различия должны быть минимальными, и вы все равно сможете получить желаемый результат.

Настройка групповой политики

Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы

Выбор:

Require additional authentication at startup

Выберите следующие параметры:

Configure TPM startup:             Do not allow TPM
Configure TPM startup PIN:         Do not allow startup PIN TPM
Configure TPM startup key:         Require startup key with TPM
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM

Зашифруйте диск

На этом этапе вы сможете перейти к

Панель управления> Шифрование диска BitLocker

и использовать мастер.(Если вы неправильно настроили параметры групповой политики, при попытке зашифровать диск в диалоговом окне шифрования появится сообщение о том, что параметры групповой политики конфликтуют, и вам нужно их изменить.) В противном случае выдолжен иметь возможность сохранить ключ запуска (или, в вашем случае, ввести PIN-код запуска) и продолжить шифрование диска.

Ограничения

Когда я впервые начал исследовать это, моей целью былоиспользуйте исключительно ключ запуска, вообще не используя TPM.Документация Microsoft с самого начала была понятна: для этого нужно использовать инструменты командной строки.Мастер панели управления не будет делать то, что вы хотите.(Хотя я чувствую себя как дома в командной строке, шифрование диска ОС Windows является для меня новой территорией. Я хотел остаться на хорошо пройденном пути.) В приведенном выше методе описывается, как использовать ключ запуска TPM +.Вы должны иметь возможность слегка изменить это для своих собственных нужд, используя стартовый PIN-код TPM +.

Source

Наконец, вот отличная статья, которая помогла мне настроить групповую политику.В статье рассказывается, как настроить BigLocker с помощью TPM + PIN-код запуска + ключ запуска.Все вызовы командной строки перечислены;Я не пробовал ни одного из них, но, возможно, вы найдете их полезными для управляемой установки.

https://mrhorn.com/wp/posts/bitlocker-with-tpm-pin-usb-startupkey/