BitLocker-Wiederherstellung: bekannte Probleme

In diesem Artikel werden häufige Probleme beschrieben, die verhindern können, dass Sich BitLocker beim Wiederherstellen eines Laufwerks wie erwartet verhält, oder die dazu führen können, dass BitLocker die Wiederherstellung unerwartet startet. Der Artikel enthält auch Anleitungen zur Behebung dieser Probleme.

Hinweis

In diesem Artikel bezieht sich "Wiederherstellungskennwort" auf das 48-stellige Wiederherstellungskennwort und "Wiederherstellungsschlüssel" auf einen 32-stelligen Wiederherstellungsschlüssel. Weitere Informationen finden Sie unter BitLocker-Schlüsselschutzvorrichtungen.

Windows fordert zur Eingabe eines nicht vorhandenen BitLocker-Wiederherstellungskennworts auf.

Windows fordert sie zur Eingabe eines BitLocker-Wiederherstellungskennworts auf. Ein BitLocker-Wiederherstellungskennwort wurde jedoch nicht konfiguriert.

Lösung für Windows fordert zur Eingabe eines nicht vorhandenen BitLocker-Wiederherstellungskennworts auf

Die häufig gestellten Fragen zu BitLocker und Active Directory Domain Services (AD DS) behandeln Situationen, die dieses Symptom erzeugen können, und enthält Informationen zum Verfahren zum Beheben des Problems:

• Was geschieht, wenn BitLocker auf einem Computer aktiviert ist, bevor der Computer der Domäne beigetreten ist?

• Was geschieht, wenn die Sicherung anfänglich fehlschlägt? Wird die Sicherung von BitLocker wiederholt?

Das Wiederherstellungskennwort für einen Laptop wurde nicht gesichert, und der Laptop ist gesperrt.

Stellen Sie sich folgendes Szenario vor:

Die Festplatte eines Windows 11 oder Windows 10 Laptops muss wiederhergestellt werden. Der Datenträger wurde mithilfe der BitLocker-Treiberverschlüsselung verschlüsselt. Das BitLocker-Wiederherstellungskennwort wurde jedoch nicht gesichert, und der übliche Benutzer des Laptops ist nicht verfügbar, um das Kennwort anzugeben.

Lösung für das Wiederherstellungskennwort für einen Laptop wurde nicht gesichert

Sie können eine der folgenden Methoden verwenden, um die vorhandenen Wiederherstellungsinformationen eines Onlineclients manuell zu sichern oder zu synchronisieren:

• Erstellen Sie ein WMI-Skript (Windows Management Instrumentation), das die Informationen sichert. Weitere Informationen finden Sie unter BitLocker-Laufwerkverschlüsselungsanbieter.

• Verwenden Sie in einem Eingabeaufforderungsfenster mit erhöhten Rechten den Befehl manage-bde.exe , um die Informationen zu sichern.

  Um beispielsweise alle Wiederherstellungsinformationen für das Laufwerk C: in AD DS zu sichern, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

  cmd manage-bde.exe -protectors -adbackup C:

---

Hinweis

BitLocker verwaltet diesen Sicherungsvorgang nicht automatisch.

Tablet-Geräte unterstützen nicht die Verwendung von manage-bde.exe -forcerecovery zum Testen des Wiederherstellungsmodus.

Stellen Sie sich folgendes Szenario vor:

Die BitLocker-Wiederherstellung muss auf einem Tablet oder Slate-Gerät getestet werden, indem Sie den folgenden Befehl ausführen:

cmd manage-bde.exe -forcerecovery

---

Nach eingabe des Wiederherstellungskennworts kann das Gerät jedoch nicht gestartet werden.

Ursache dafür, dass Tablet-Geräte die Verwendung von manage-bde.exe -forcerecovery zum Testen des Wiederherstellungsmodus nicht unterstützen

Wichtig

Tablet-Geräte unterstützen den manage-bde.exe -forcerecovery Befehl nicht.

Dieses Problem tritt auf, weil der Windows-Start-Manager während der Startphase vor dem Start keine Toucheingabe verarbeiten kann. Wenn der Start-Manager erkennt, dass es sich bei dem Gerät um ein Tablet handelt, wird der Startvorgang an die Windows-Wiederherstellungsumgebung (WinRE) umgeleitet, die Toucheingaben verarbeiten kann.

Wenn WindowsRE die TPM-Schutzvorrichtung auf der Festplatte erkennt, wird eine PCR-Neuversiegelung ausgeführt. Der manage-bde.exe -forcerecovery Befehl löscht jedoch die TPM-Schutzvorrichtungen auf der Festplatte. Daher kann WinRE die PCRs nicht erneut versiegeln. Dieser Fehler löst einen unendlichen BitLocker-Wiederherstellungszyklus aus und verhindert, dass Windows gestartet wird.

Dieses Verhalten ist für alle Versionen von Windows beabsichtigt.

Problemumgehung für Tablet-Geräte, die nicht zum Testen des Wiederherstellungsmodus verwenden manage-bde.exe -forcerecovery

Führen Sie die folgenden Schritte aus, um die Neustartschleife aufzulösen:

1. Wählen Sie auf dem Bildschirm BitLocker-Wiederherstellung die Option Dieses Laufwerk überspringen aus.

2. Wählen Sie Problembehandlung bei>erweiterten Optionen>Eingabeaufforderung aus.

3. Führen Sie im Eingabeaufforderungsfenster die folgenden Befehle aus:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Schließen Sie das Eingabeaufforderungsfenster.

5. Fahren Sie das Gerät herunter.

6. Starten Sie das Gerät. Windows sollte wie gewohnt starten.

Nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf.

Stellen Sie sich folgendes Szenario vor:

Auf einem Surface-Gerät ist die BitLocker-Laufwerkverschlüsselung aktiviert. Die Firmware des SURFACE-TPM wird aktualisiert, oder es wird ein Update installiert, das die Signatur der Systemfirmware ändert. Beispielsweise wird das Surface TPM-Update (IFX) installiert.

Auf dem Surface-Gerät treten mindestens eines der folgenden Symptome auf:

• Beim Start fordert das Surface-Gerät zur Eingabe eines BitLocker-Wiederherstellungskennworts auf. Das richtige Wiederherstellungskennwort wird eingegeben, aber Windows wird nicht gestartet.

• Der Start erfolgt direkt in den UEFI-Einstellungen (Unified Extensible Firmware Interface) des Surface-Geräts.

• Das Surface-Gerät scheint sich in einer endlosen Neustartschleife zu befinden.

Ursache: Nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf.

Dieses Problem tritt auf, wenn das SURFACE-Geräte-TPM für die Verwendung von PCR-Werten (Platform Configuration Register) konfiguriert ist, die nicht die Standardwerte von PCR 7 und PCR 11 sind. Mit den folgenden Einstellungen kann das TPM beispielsweise auf diese Weise konfiguriert werden:

• Sicherer Start ist deaktiviert.
• PCR-Werte wurden explizit definiert, z. B. durch Gruppenrichtlinien.

Geräte, die Connected Standby (auch als InstantGO oder Always On, Always Connected PCs) unterstützen, einschließlich Surface-Geräten, müssen PCR 7 des TPM verwenden. In der Standardkonfiguration auf solchen Systemen wird BitLocker an PCR 7 und PCR 11 gebunden, wenn PCR 7 und Sicherer Start ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter BitLocker Gruppenrichtlinie Settings: About the Platform Configuration Register (PCR).

Lösung für nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf.

Um die PCR-Werte zu überprüfen, die auf einem Gerät verwendet werden, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

manage-bde.exe -protectors -get <OSDriveLetter>:

In diesem Befehl <stellt OSDriveLetter> den Laufwerkbuchstaben des Betriebssystemlaufwerks dar.

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben und das Gerät zu reparieren:

Schritt 1: Deaktivieren der TPM-Schutzvorrichtungen auf dem Startlaufwerk

Wenn ein TPM- oder UEFI-Update installiert wurde und das Surface-Gerät nicht gestartet werden kann, auch wenn das richtige BitLocker-Wiederherstellungskennwort eingegeben wurde, kann die Startmöglichkeit mithilfe des BitLocker-Wiederherstellungskennworts und eines Surface-Wiederherstellungsimages wiederhergestellt werden, um die TPM-Schutzvorrichtungen vom Startlaufwerk zu entfernen.

Führen Sie die folgenden Schritte aus, um das BitLocker-Wiederherstellungskennwort und ein Surface-Wiederherstellungsimage zum Entfernen der TPM-Schutzvorrichtungen vom Startlaufwerk zu verwenden:

1. Rufen Sie das BitLocker-Wiederherstellungskennwort aus dem Microsoft.com Konto des Surface-Benutzers ab. Wenn BitLocker mit einer anderen Methode verwaltet wird, z. B. Microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager BitLocker-Verwaltung oder Intune, wenden Sie sich an den Administrator, um Hilfe zu erhalten.

2. Verwenden Sie einen anderen Computer, um das Surface-Wiederherstellungsimage von Surface Recovery Image Download herunterzuladen. Verwenden Sie das heruntergeladene Image, um ein USB-Wiederherstellungslaufwerk zu erstellen.

3. Schließen Sie das USB-Surface-Wiederherstellungsimagelaufwerk in das Surface-Gerät ein, und starten Sie das Gerät.

4. Wenn Sie dazu aufgefordert werden, wählen Sie die folgenden Elemente aus:

   1. Die Sprache des Betriebssystems.

   2. Das Tastaturlayout.

5. Wählen Sie Problembehandlung bei>erweiterten Optionen>Eingabeaufforderung aus.

6. Führen Sie im Eingabeaufforderungsfenster die folgenden Befehle aus:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   Dabei gilt:

   • <Kennwort> ist das BitLocker-Wiederherstellungskennwort, das in Schritt 1 abgerufen wurde.
   • <DriveLetter> ist der Laufwerkbuchstabe, der dem Betriebssystemlaufwerk zugewiesen ist.

   Hinweis

   Weitere Informationen zur Verwendung dieses Befehls finden Sie unter manage-bde unlock.

7. Starten Sie den Computer neu.

8. Wenn Sie dazu aufgefordert werden, geben Sie das BitLocker-Wiederherstellungskennwort ein, das in Schritt 1 abgerufen wurde.

Hinweis

Nachdem die TPM-Schutzvorrichtungen deaktiviert wurden, schützt die BitLocker-Laufwerkverschlüsselung das Gerät nicht mehr. Um die BitLocker-Laufwerkverschlüsselung erneut zu aktivieren, wählen Sie Start aus, geben BitLocker verwalten ein, und drücken Sie dann die EINGABETASTE. Führen Sie die Schritte zum Verschlüsseln des Laufwerks aus.

Schritt 2: Verwenden von Surface BMR zum Wiederherstellen von Daten und Zurücksetzen des Surface-Geräts

Um Daten vom Surface-Gerät wiederherzustellen, wenn Windows nicht gestartet wird, führen Sie die Schritte 1 bis 5 des Abschnitts Schritt 1: Deaktivieren der TPM-Schutzvorrichtungen auf dem Startlaufwerk aus , um zu einem Eingabeaufforderungsfenster zu gelangen. Sobald ein Eingabeaufforderungsfenster geöffnet ist, führen Sie die folgenden Schritte aus:

1. Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   In diesem Befehl ist Password> das BitLocker-Wiederherstellungskennwort,< das in Schritt 1 des Abschnitts Schritt 1: Deaktivieren der TPM-Schutzvorrichtungen auf dem Startlaufwerk abgerufen wurde, und <DriveLetter> ist der Laufwerkbuchstabe, der dem Betriebssystemlaufwerk zugewiesen ist.

2. Nachdem das Laufwerk entsperrt wurde, verwenden Sie den copy Befehl oder xcopy.exe , um die Benutzerdaten auf ein anderes Laufwerk zu kopieren.

   Hinweis

   Weitere Informationen zu diesen Befehlen finden Sie im Artikel Windows-Befehle .

3. Um das Gerät mithilfe eines Surface-Wiederherstellungsimages zurückzusetzen, befolgen Sie die Anweisungen im Artikel Erstellen und Verwenden eines USB-Wiederherstellungslaufwerks für Surface.

Schritt 3: Wiederherstellen der PCR-Standardwerte

Um zu verhindern, dass dieses Problem wiederholt wird, wird empfohlen, die Standardkonfiguration für den sicheren Start und die PCR-Werte wiederherzustellen.

Führen Sie die folgenden Schritte aus, um den sicheren Start auf einem Surface-Gerät zu aktivieren:

1. Setzen Sie BitLocker an, indem Sie ein Fenster mit erhöhten Windows PowerShell öffnen und das folgende PowerShell-Cmdlet ausführen:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In diesem Befehl <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

2. Starten Sie das Gerät neu, und bearbeiten Sie dann die UEFI-Einstellungen, um die Option Sicherer Start auf Nur Microsoft festzulegen.

3. Starten Sie das Gerät neu, und melden Sie sich bei Windows an.

4. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Führen Sie die folgenden Schritte aus, um die PCR-Einstellungen auf dem TPM zurückzusetzen:

1. Deaktivieren Sie alle Gruppenrichtlinie Objekte, die die PCR-Einstellungen konfigurieren, oder entfernen Sie das Gerät aus allen Gruppen, die solche Richtlinien erzwingen.

   Weitere Informationen finden Sie unter BitLocker Gruppenrichtlinie Einstellungen.

2. Setzen Sie BitLocker an, indem Sie ein Fenster mit erhöhten Windows PowerShell öffnen und das folgende PowerShell-Cmdlet ausführen:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In diesem Befehl <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

3. Führen Sie das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Schritt 4: Anhalten von BitLocker während TPM- oder UEFI-Firmwareupdates

Sie können dieses Szenario vermeiden, wenn Sie Updates für Systemfirmware oder TPM-Firmware installieren, indem Sie BitLocker vorübergehend anhalten, bevor Sie solche Updates anwenden.

Wichtig

TPM- und UEFI-Firmwareupdates erfordern möglicherweise mehrere Neustarts während der Installation. Damit BitLocker während dieses Prozesses angehalten wird, muss das PowerShell-Cmdlet Suspend-BitLocker verwendet werden, und der Parameter Reboot Count muss auf einen der folgenden Werte festgelegt werden:

• 2 oder höher: Dieser Wert legt fest, wie oft das Gerät neu gestartet wird, bevor die BitLocker-Geräteverschlüsselung fortgesetzt wird. Wenn Sie z. B. den Wert auf 2 festlegen, wird BitLocker fortgesetzt, nachdem das Gerät zweimal neu gestartet wurde.

• 0: Dieser Wert hält die BitLocker-Laufwerkverschlüsselung auf unbestimmte Zeit an. Zum Fortsetzen von BitLocker muss das PowerShell-Cmdlet Resume-BitLocker oder ein anderer Mechanismus verwendet werden, um den BitLocker-Schutz fortzusetzen.

So setzen Sie BitLocker während der Installation von TPM- oder UEFI-Firmwareupdates aus:

1. Öffnen Sie ein Fenster mit erhöhten Windows PowerShell, und führen Sie das folgende PowerShell-Cmdlet aus:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   In diesem PowerShell-Cmdlet <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

2. Installieren Sie den Surface-Gerätetreiber und Firmwareupdates.

3. Starten Sie nach der Installation der Firmwareupdates den Computer neu, öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie dann das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard auf TPM 1.2: Bei jedem Neustart fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf und gibt einen Fehler 0xC0210000

Stellen Sie sich folgendes Szenario vor:

Ein Gerät verwendet TPM 1.2 und führt Windows 10, Version 1809 aus. Das Gerät verwendet auch virtualisierungsbasierte Sicherheitsfeatures wie Device Guard und Credential Guard. Jedes Mal, wenn das Gerät gestartet wird, wechselt das Gerät in den BitLocker-Wiederherstellungsmodus, und es wird eine Fehlermeldung ähnlich der folgenden angezeigt:

Wiederherstellung

Ihr PC/Gerät muss repariert werden. Auf eine erforderliche Datei konnte nicht zugegriffen werden, weil Ihr BitLocker-Schlüssel nicht ordnungsgemäß geladen wurde.

Fehlercode 0xc0210000

Sie müssen Wiederherstellungstools verwenden. Wenn Sie über kein Installationsmedium (z. B. einen Datenträger oder ein USB-Gerät) verfügen, wenden Sie sich an ihren PC-Administrator oder PC/Gerätehersteller.

Ursache von Credential Guard/Device Guard auf TPM 1.2: Bei jedem Neustart fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf und gibt einen Fehler 0xC0210000

TPM 1.2 unterstützt den sicheren Start nicht. Weitere Informationen finden Sie unter Systemüberwachung Sicherer Start und SMM-Schutz: Anforderungen, die von Systemüberwachung aktivierten Computern erfüllt werden

Weitere Informationen zu dieser Technologie finden Sie unter Windows Defender Systemüberwachung: Wie ein hardwarebasierter Vertrauensstamm Windows schützt

Lösung für Credential Guard/Device Guard unter TPM 1.2: Bei jedem Neustart fordert BitLocker zur Eingabe des Wiederherstellungskennworts auf und gibt einen Fehler 0xC0210000

Verwenden Sie eine der beiden folgenden Lösungen, um dieses Problem zu beheben:

• Entfernen Sie alle Geräte, die TPM 1.2 verwenden, aus allen Gruppen, die Gruppenrichtlinienobjekten unterliegen, die einen sicheren Start erzwingen.
• Bearbeiten Sie das Gruppenrichtlinienobjekt "Virtualisierungsbasierte Sicherheit aktivieren ", um Die Konfiguration für den sicheren Start auf Deaktiviert festzulegen.