我们在TPM PIN模式下启用了BitLocker,部署了多个Surface Pro 3设备.这些设备有一个TPM 2.0芯片,运行的是
Windows 8.1 Pro.
我们遇到一个问题,即用户在输入正确的PIN时偶尔会出现“PIN尝试次数太多”错误.然后,他们必须输入恢复密钥才能继续启动过程.然后,他们每次启动设备时都需要输入恢复密钥,直到我们使用tpm.msc手动重置TPM锁定,这显然不方便.
由于某种原因,TPM正在进入锁定状态,但似乎并不是因为重复错误的PIN尝试.如果您让设备保持运行,锁定最终不会超时这一事实也表明,除了达到最大数量的不正确的身份验证尝试之外,还有其它原因.我理解TPM 2.0规范说明应该是这种情况,不像TPM 1.2规范那样将确切的行为留给了供应商.
运行Get-Tpm表示TPM肯定处于锁定状态,但不提供有关原因的任何信息.
有谁知道我能做些什么来尝试确定锁定的根本原因?
我读过的解释是,TPM无权写入任何类型的日志或导致锁定到拒绝访问的驱动器.明智的.给出理由也可能存在安全漏洞.
我能够在这些行中找到的唯一信息是输入的错误密码的数量.打开提升的PowerShell提示符并输入:
get-tpm
与普通命令shell不同,您将拥有LockoutCount和LockoutMax的条目.这将为您计算输入的密码数量.我确信用户确信他们总是输入正确的引脚,但我发现通常会有误传.
话虽如此,还有其他许多停工原因.
https://technet.microsoft.com/en-us/library/dn383583(v=ws.11).aspx
特别是“导致Bitlocker恢复的原因是什么?”
从插入CD到让设备电池完全放电的任何事情都可能导致锁定.这是我试图通过混合用户教育,帮助台教育以及评估要更改的组/本地策略设置来解决的问题. https://technet.microsoft.com/en-us/library/jj679890(v=ws.11).aspx
