Freigeben über

Nach der Installation von Updates für Surface UEFI oder TPM-Firmware auf Dem Surface-Gerät zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert

Dieser Artikel enthält Problemumgehungen für das Problem, bei dem Sie nach der Installation von Updates für Surface UEFI oder TPM-Firmware auf Surface-Geräten zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert werden.

Gilt für: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1. Generation), Surface Pro (5. Generation), Surface Book 2 - 13 Zoll, Surface Pro mit LTE Advanced, Surface Book 2 - 15 Zoll
Ursprüngliche KB-Nummer: 4057282

Wichtig

Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.

Problembeschreibung

Auf Ihrem Surface-Gerät treten mindestens eins der folgenden Symptome auf:

  • Beim Start werden Sie aufgefordert, Ihren BitLocker-Wiederherstellungsschlüssel einzugeben, und Sie geben den richtigen Wiederherstellungsschlüssel ein, aber Windows wird nicht gestartet.
  • Sie starten direkt mit den UEFI-Einstellungen (Surface Unified Extensible Firmware Interface).
  • Ihr Surface-Gerät scheint sich in einer endlosen Neustartschleife zu befindet.

Ursache

Dieses Verhalten kann im folgenden Szenario auftreten:

  • BitLocker ist aktiviert und für die Verwendung anderer Werte des Plattformkonfigurationsregisters (PLATFORM Configuration Register, PCR) als die Standardwerte von PCR 7 und PCR 11 konfiguriert, z. B. in folgenden Fällen:

    • Der sichere Start ist deaktiviert.
    • PCR-Werte wurden explizit definiert, z. B. durch Gruppenrichtlinien.

  • Sie installieren ein Firmwareupdate, das die Firmware des TPM des Geräts aktualisiert oder die Signatur der Systemfirmware ändert. Sie installieren beispielsweise das Surface dTPM (IFX)-Update.

Notiz

Sie können die PCR-Werte überprüfen, die auf einem Gerät verwendet werden, indem Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 ist eine Anforderung für Geräte, die den verbundenen Standbymodus unterstützen (auch als InstantGO oder Always On, Always Connected PCs bezeichnet), einschließlich Surface-Geräten. Wenn das TPM mit PCR 7 und sicherem Start ordnungsgemäß konfiguriert ist, bindet BitLocker standardmäßig an PCR 7 und PCR 11. Weitere Informationen finden Sie unter "Informationen zum Plattformkonfigurationsregister (PLATFORM Configuration Register, PCR)" unter Den BitLocker-Gruppenrichtlinieneinstellungen.

Problemumgehung

Warnung

Die BitLocker-Laufwerkverschlüsselung hilft Ihnen, die vertraulichen Informationen Ihrer Organisation zu schützen, indem Sie die Daten verschlüsseln. Diese Problemumgehung zum vorübergehenden Deaktivieren von BitLocker kann die Daten gefährden. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Methode 1: Anhalten von BitLocker während TPM- oder UEFI-Firmwareupdates

Sie können dieses Szenario vermeiden, wenn Sie Updates auf Systemfirmware oder TPM-Firmware installieren, indem Sie BitLocker vorübergehend anhalten, bevor Sie Updates auf TPM- oder UEFI-Firmware mithilfe von Suspend-BitLocker anwenden.

Notiz

TPM- und UEFI-Firmwareupdates erfordern möglicherweise mehrere Neustarts während der Installation. Das Anhalten von BitLocker muss also über das Suspend-BitLocker-Cmdlet erfolgen und den RebootCount Parameter verwenden, um eine Reihe von Neustarts anzugeben, die größer als 2 sind, damit BitLocker während des Firmwareupdatevorgangs angehalten bleibt. Eine Neustartanzahl von 0 hält BitLocker unbegrenzt an, bis BitLocker über das PowerShell-Cmdlet Resume-BitLocker oder einen anderen Mechanismus fortgesetzt wird.

So setzen Sie BitLocker für die Installation von TPM- oder UEFI-Firmwareupdates aus:

  1. Öffnen Sie eine Administrative PowerShell-Sitzung.

  2. Geben Sie das folgende Cmdlet ein, und drücken Sie die EINGABETASTE:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    dabei ist C: das Laufwerk, das Ihrem Datenträger zugewiesen ist.

  3. Installieren Sie Surface-Gerätetreiber und Firmwareupdates.

  4. Nach erfolgreicher Installation der Firmwareupdates setzen Sie BitLocker mit dem Cmdlet Resume-BitLocker wie folgt fort:

    Resume-BitLocker -MountPoint "C:"

Methode 2: Aktivieren des sicheren Starts und Wiederherstellen von STANDARD-PCR-Werten

Es wird dringend empfohlen, die Standard- und empfohlene Konfiguration von Werten für den sicheren Start und PCR wiederherzustellen, nachdem BitLocker angehalten wurde, um die Eingabe der BitLocker-Wiederherstellung beim Anwenden zukünftiger Updates auf TPM- oder UEFI-Firmware zu verhindern.

So aktivieren Sie den sicheren Start auf einem Surface-Gerät, auf dem BitLocker aktiviert ist:

  1. Halten Sie BitLocker mit dem Suspend-BitLocker Cmdlet an, wie in Methode 1 beschrieben.
  2. Starten Sie Ihr Surface-Gerät mit UEFI, indem Sie eine der methoden verwenden, die unter "Using Surface UEFI on Surface Laptop", "new Surface Pro", "Surface Studio", "Surface Book" und "Surface Pro 4" definiert sind.
  3. Wählen Sie den Abschnitt "Sicherheit " aus.
  4. Wählen Sie "Konfiguration ändern" unter "Sicherer Start" aus.
  5. Wählen Sie "Nur>Microsoft OK" aus.
  6. Wählen Sie "Beenden" und dann " Neu starten " aus, um das Gerät neu zu starten.
  7. Setzen Sie BitLocker mit dem Resume-BitLocker Cmdlet fort, wie in Methode 1 beschrieben.

So ändern Sie die PCR-Werte, die zum Überprüfen der BitLocker-Laufwerkverschlüsselung verwendet werden:

  1. Deaktivieren Sie gruppenrichtlinien, die PCR konfigurieren, oder entfernen Sie das Gerät aus allen Gruppen, in denen solche Richtlinien gelten. Weitere Informationen finden Sie unter "Bereitstellungsoptionen" in der BitLocker-Gruppenrichtlinienreferenz .
  2. Halten Sie BitLocker mit dem Suspend-BitLocker Cmdlet an, wie in Methode 1 beschrieben.
  3. Setzen Sie BitLocker mit dem Resume-BitLocker Cmdlet fort, wie in Methode 1 beschrieben.

Methode 3: Entfernen von Schutzkomponenten vom Startlaufwerk

Wenn Sie ein TPM- oder UEFI-Update installiert haben und Ihr Gerät nicht gestartet werden kann, auch wenn der richtige BitLocker-Wiederherstellungsschlüssel eingegeben wird, können Sie die Möglichkeit zum Starten mithilfe des BitLocker-Wiederherstellungsschlüssels und eines Surface-Wiederherstellungsimages wiederherstellen, um die BitLocker-Schutzkomponenten vom Startlaufwerk zu entfernen.

So entfernen Sie die Schutzkomponenten mithilfe des BitLocker-Wiederherstellungsschlüssels vom Startlaufwerk:

  1. Rufen Sie Ihren BitLocker-Wiederherstellungsschlüssel aus dem Microsoft-Konto ab, oder wenn BitLocker auf andere Art verwaltet wird, z. B. Microsoft BitLocker Administration and Monitoring (MBAM), wenden Sie sich an Ihren Administrator.

  2. Laden Sie das Surface-Wiederherstellungsimage von einem anderen Computer herunter, und laden Sie ein Wiederherstellungsimage für Ihr Surface herunter, und erstellen Sie ein USB-Wiederherstellungslaufwerk.

  3. Starten Sie vom USB-Surface-Wiederherstellungsimagelaufwerk.

  4. Wählen Sie Ihre Betriebssystemsprache aus, wenn Sie dazu aufgefordert werden.

  5. Wählen Sie Ihr Tastaturlayout aus.

  6. Wählen Sie "Problembehandlung bei>erweiterten Optionen>" aus.

  7. Führen Sie die folgenden Befehle aus:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    Dabei ist C: das Laufwerk, das Ihrem Datenträger zugewiesen ist und <das Kennwort> Ihr BitLocker-Wiederherstellungsschlüssel ist, wie in Schritt 1 abgerufen.

    Notiz

    Weitere Informationen zur Verwendung dieses Befehls finden Sie unter Manage-bde: unlock.

  8. Starten Sie den Computer neu.

  9. Wenn Sie dazu aufgefordert werden, geben Sie Ihren BitLocker-Wiederherstellungsschlüssel ein, wie in Schritt 1 abgerufen.

Notiz

Nachdem Sie die BitLocker-Schutzkomponenten von Ihrem Startlaufwerk deaktiviert haben, wird Ihr Gerät nicht mehr durch die BitLocker-Laufwerkverschlüsselung geschützt. Sie können BitLocker erneut aktivieren, indem Sie "Start" auswählen, "BitLocker verwalten" eingeben und die EINGABETASTE drücken, um die BitLocker-Laufwerkverschlüsselung Systemsteuerung Applet zu starten und die Schritte zum Verschlüsseln des Laufwerks auszuführen.

Methode 4: Wiederherstellen von Daten und Zurücksetzen Ihres Geräts mit Surface Bare Metal Recovery (BMR)

So stellen Sie Daten von Ihrem Surface-Gerät wieder her, wenn Sie nicht in Windows starten können:

  1. Rufen Sie Ihren BitLocker-Wiederherstellungsschlüssel aus dem Microsoft-Konto ab, oder wenn BitLocker auf andere Art verwaltet wird, z. B. Microsoft BitLocker Administration and Monitoring (MBAM), wenden Sie sich an Ihren Administrator.

  2. Laden Sie das Surface-Wiederherstellungsimage von einem anderen Computer herunter, und laden Sie ein Wiederherstellungsimage für Ihr Surface herunter, und erstellen Sie ein USB-Wiederherstellungslaufwerk.

  3. Starten Sie vom USB-Surface-Wiederherstellungsimagelaufwerk.

  4. Wählen Sie Ihre Betriebssystemsprache aus, wenn Sie dazu aufgefordert werden.

  5. Wählen Sie Ihr Tastaturlayout aus.

  6. Wählen Sie "Problembehandlung bei>erweiterten Optionen>" aus.

  7. Führen Sie den folgenden Befehl aus:

    manage-bde -unlock -recoverypassword <password> C:

    Dabei ist C: das Laufwerk, das Ihrem Datenträger zugewiesen ist und <das Kennwort> Ihr BitLocker-Wiederherstellungsschlüssel ist, wie in Schritt 1 abgerufen.

  8. Nachdem das Laufwerk entsperrt wurde, verwenden copy Oder xcopy Befehle, um die Benutzerdaten auf ein anderes Laufwerk zu kopieren.

    Notiz

    Weitere Informationen zu diesen Befehlen finden Sie in der Windows-Befehlszeilenreferenz.

Wenn Sie Ihr Gerät mithilfe eines Surface-Wiederherstellungsimages zurücksetzen möchten, befolgen Sie die Anweisungen unter "Zurücksetzen des Surface mithilfe Ihres USB-Wiederherstellungslaufwerks" unter Erstellen und Verwenden eines USB-Wiederherstellungslaufwerks.