无法为 Bitlocker (0x80310060) 设置 TPM+PIN 模式
Impossible to set TPM+PIN mode for Bitlocker (0x80310060)
我正在尝试使用 Bitlocker 保护我们的 Win10Pro 戴尔笔记本电脑。
我们想添加初始 PIN 请求。
我们正在关注许多在线文章,启用 启动时需要额外的身份验证 密钥并将 Configure TPM startup Pin 设置为 Require startup使用 TPM.
的 PIN
之后,我输入命令
manage-bde -protectors -add c: -TPMAndPIN
但我们总是收到错误:
ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a
different BitLocker startup option.
其他方式是通过命令行命令:
manage-bde -on c: -UsedSpaceOnly -RecoveryPassword -RecoveryKey e: -TPMAndPIN 123456
但又是 0x80310060。
好的。这是您需要做的。在开始详细介绍之前,让我强调一下您的环境与我自己的环境之间的一些差异:
- 下面的详细信息适用于 Windows 7 Ultimate
- 下面的详细信息适用于 TPM + 启动密钥而不是启动 PIN
这些差异应该很小,您应该仍然能够获得想要的结果。
配置组策略
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Select:
Require additional authentication at startup
选择以下选项:
Configure TPM startup: Do not allow TPM
Configure TPM startup PIN: Do not allow startup PIN TPM
Configure TPM startup key: Require startup key with TPM
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
加密驱动器
此时,您应该可以去
Control Panel > BitLocker Drive Encryption
并使用向导。 (如果您设置的组策略设置错误,当您尝试加密驱动器时,您将在加密对话框中收到一条消息,指出您的组策略设置有冲突,您需要更改它们。)否则,您应该能够保存启动密钥(或者,在您的情况下,输入启动 PIN)并继续驱动器加密。
限制
当我第一次开始研究这个时,我的目标是只使用启动密钥,根本不使用 TPM。 Microsoft 文档从一开始就非常清楚,要做到这一点,您必须使用命令行工具。控制面板向导不会执行您想要的操作。 (虽然我对命令行非常熟悉,但 Windows OS 驱动器加密对我来说是新领域。我想走在一条人迹罕至的道路上。)上面的方法列出了如何使用 TPM + 启动密钥。您应该能够使用 TPM + 启动 PIN 根据自己的需要稍微修改它。
来源
最后,这是指导我设置组策略的优秀文章。本文将向您介绍如何使用 TPM + 启动 PIN + 启动密钥设置 BigLocker。列出所有命令行调用;我没有尝试过其中任何一个,但也许您会发现它们对托管安装很有用。
https://mrhorn.com/wp/posts/bitlocker-with-tpm-pin-usb-startupkey/
我正在尝试使用 Bitlocker 保护我们的 Win10Pro 戴尔笔记本电脑。
我们想添加初始 PIN 请求。
我们正在关注许多在线文章,启用 启动时需要额外的身份验证 密钥并将 Configure TPM startup Pin 设置为 Require startup使用 TPM.
的 PIN
之后,我输入命令
manage-bde -protectors -add c: -TPMAndPIN
但我们总是收到错误:
ERROR: An error occurred (code 0x80310060): Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.
其他方式是通过命令行命令:
manage-bde -on c: -UsedSpaceOnly -RecoveryPassword -RecoveryKey e: -TPMAndPIN 123456
但又是 0x80310060。
好的。这是您需要做的。在开始详细介绍之前,让我强调一下您的环境与我自己的环境之间的一些差异:
- 下面的详细信息适用于 Windows 7 Ultimate
- 下面的详细信息适用于 TPM + 启动密钥而不是启动 PIN
这些差异应该很小,您应该仍然能够获得想要的结果。
配置组策略
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Select:
Require additional authentication at startup
选择以下选项:
Configure TPM startup: Do not allow TPM
Configure TPM startup PIN: Do not allow startup PIN TPM
Configure TPM startup key: Require startup key with TPM
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
加密驱动器
此时,您应该可以去
Control Panel > BitLocker Drive Encryption
并使用向导。 (如果您设置的组策略设置错误,当您尝试加密驱动器时,您将在加密对话框中收到一条消息,指出您的组策略设置有冲突,您需要更改它们。)否则,您应该能够保存启动密钥(或者,在您的情况下,输入启动 PIN)并继续驱动器加密。
限制
当我第一次开始研究这个时,我的目标是只使用启动密钥,根本不使用 TPM。 Microsoft 文档从一开始就非常清楚,要做到这一点,您必须使用命令行工具。控制面板向导不会执行您想要的操作。 (虽然我对命令行非常熟悉,但 Windows OS 驱动器加密对我来说是新领域。我想走在一条人迹罕至的道路上。)上面的方法列出了如何使用 TPM + 启动密钥。您应该能够使用 TPM + 启动 PIN 根据自己的需要稍微修改它。
来源
最后,这是指导我设置组策略的优秀文章。本文将向您介绍如何使用 TPM + 启动 PIN + 启动密钥设置 BigLocker。列出所有命令行调用;我没有尝试过其中任何一个,但也许您会发现它们对托管安装很有用。
https://mrhorn.com/wp/posts/bitlocker-with-tpm-pin-usb-startupkey/