BitLocker-Wiederherstellung: bekannte Probleme

In diesem Artikel werden häufig auftretende Probleme beschrieben, die verhindern können, dass BitLocker beim Wiederherstellen eines Laufwerks wie erwartet verhält oder dies dazu führen kann, dass BitLocker unerwartet die Wiederherstellung startet. Der Artikel enthält auch Anleitungen zur Behebung dieser Probleme.

Notiz

In diesem Artikel bezieht sich "Wiederherstellungskennwort" auf das 48-stellige Wiederherstellungskennwort und den "Wiederherstellungsschlüssel" auf 32-stellige Wiederherstellungsschlüssel. Weitere Informationen finden Sie unter BitLocker-Schlüsselschutzvorrichtungen.

Weitere Informationen zur Geräteverschlüsselung finden Sie unter Hardwareanforderungen für die automatische Geräteverschlüsselung von BitLocker.

Windows fordert ein nicht vorhandenes BitLocker-Wiederherstellungskennwort auf.

Windows fordert ein BitLocker-Wiederherstellungskennwort auf. Ein BitLocker-Wiederherstellungskennwort wurde jedoch nicht konfiguriert.

Lösung für Windows-Eingabeaufforderungen für ein nicht vorhandenes BitLocker-Wiederherstellungskennwort

Die häufig gestellten Fragen zu BitLocker und Active Directory-Domäne Services (AD DS) adressieren Situationen, die dieses Symptom erzeugen können, und enthält Informationen zum Verfahren, um das Problem zu beheben:

• Was geschieht, wenn BitLocker auf einem Computer aktiviert ist, bevor der Computer der Domäne beitritt?

• Was geschieht, wenn die Sicherung zunächst scheitert? Wird BitLocker es erneut versuchen?

Das Wiederherstellungskennwort für einen Laptop wurde nicht gesichert, und der Laptop ist gesperrt.

Nehmen Sie das folgende Szenario als Beispiel:

Die Festplatte eines Windows 11- oder Windows 10-Laptops muss wiederhergestellt werden. Der Datenträger wurde mithilfe der BitLocker-Treiberverschlüsselung verschlüsselt. Das BitLocker-Wiederherstellungskennwort wurde jedoch nicht gesichert, und der übliche Benutzer des Laptops ist nicht verfügbar, um das Kennwort anzugeben.

Die Lösung für das Wiederherstellungskennwort für einen Laptop wurde nicht gesichert.

Sie können eine der folgenden Methoden verwenden, um die vorhandenen Wiederherstellungsinformationen eines Onlineclients manuell zu sichern oder zu synchronisieren:

• Erstellen Sie ein WMI-Skript (Windows Management Instrumentation), das die Informationen sichert. Weitere Informationen finden Sie unter BitLocker-Laufwerkverschlüsselungsanbieter.

• Verwenden Sie in einem Eingabeaufforderungsfenster mit erhöhten Rechten den Befehl manage-bde.exe , um die Informationen zu sichern.

  Um beispielsweise alle Wiederherstellungsinformationen für das Laufwerk C: auf AD DS zu sichern, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

  cmd manage-bde.exe -protectors -adbackup C:

---

Notiz

BitLocker verwaltet diesen Sicherungsvorgang nicht automatisch.

Tablet-Geräte unterstützen nicht die Verwendung des manage-bde.exe -forcerecovery Wiederherstellungsmodus

Nehmen Sie das folgende Szenario als Beispiel:

Die BitLocker-Wiederherstellung muss auf einem Tablet- oder Schiefergerät getestet werden, indem Sie den folgenden Befehl ausführen:

cmd manage-bde.exe -forcerecovery

---

Nach der Eingabe des Wiederherstellungskennworts kann das Gerät jedoch nicht gestartet werden.

Ursache für Tablet-Geräte wird nicht unterstützt manage-bde.exe -forcerecovery , um den Wiederherstellungsmodus zu testen

Wichtig

Tablet-Geräte unterstützen den manage-bde.exe -forcerecovery Befehl nicht.

Dieses Problem tritt auf, da der Windows-Start-Manager während der Startphase keine Toucheingabe verarbeiten kann. Wenn der Start-Manager erkennt, dass es sich bei dem Gerät um ein Tablet handelt, leitet es den Startvorgang an die Windows-Wiederherstellungsumgebung (WinRE) weiter, die Toucheingaben verarbeiten kann.

Wenn WindowsRE die TPM-Schutzkomponente auf der Festplatte erkennt, wird ein PCR-Erneutes Speichern ausgeführt. manage-bde.exe -forcerecovery Der Befehl löscht jedoch die TPM-Schutzkomponenten auf der Festplatte. Daher kann WinRE die PCRs nicht erneut speichern. Dieser Fehler löst einen unendlichen BitLocker-Wiederherstellungszyklus aus und verhindert, dass Windows gestartet wird.

Dieses Verhalten ist für alle Versionen von Windows vorgesehen.

Problemumgehung für Tablet-Geräte unterstützen nicht die Verwendung des manage-bde.exe -forcerecovery Wiederherstellungsmodus

Führen Sie die folgenden Schritte aus, um die Neustartschleife zu beheben:

1. Wählen Sie auf dem BitLocker-Wiederherstellungsbildschirm die Option "Dieses Laufwerk überspringen" aus.

2. Wählen Sie "Problembehandlung bei>erweiterten Optionen>" aus.

3. Führen Sie im Eingabeaufforderungsfenster die folgenden Befehle aus:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Schließen Sie das Eingabeaufforderungsfenster.

5. Fahren Sie das Gerät herunter.

6. Starten Sie das Gerät. Windows sollte wie gewohnt gestartet werden.

Nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zum Wiederherstellungskennwort auf

Nehmen Sie das folgende Szenario als Beispiel:

Ein Surface-Gerät hat die BitLocker-Laufwerkverschlüsselung aktiviert. Die Firmware des Surface-TPM wird aktualisiert oder ein Update, das die Signatur der Systemfirmware ändert. Beispielsweise wird das Surface TPM -Update (IFX) installiert.

Auf dem Surface-Gerät treten mindestens eins der folgenden Symptome auf:

• Beim Start fordert das Surface-Gerät ein BitLocker-Wiederherstellungskennwort an. Das richtige Wiederherstellungskennwort wird eingegeben, aber Windows wird nicht gestartet.

• Der Start wird direkt in die Unified Extensible Firmware Interface (UEFI)-Einstellungen des Surface-Geräts übertragen.

• Das Surface-Gerät scheint sich in einer endlosen Neustartschleife zu befindet.

Ursache nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zum Wiederherstellungskennwort auf

Dieses Problem tritt auf, wenn das Surface-Geräte-TPM so konfiguriert ist, dass andere Werte als die Standardwerte von PCR 7 und PCR 11 verwendet werden. Beispielsweise können die folgenden Einstellungen das TPM auf diese Weise konfigurieren:

• Der sichere Start ist deaktiviert.
• PCR-Werte wurden explizit definiert, z. B. durch Gruppenrichtlinien.

Geräte, die den verbundenen Standbymodus unterstützen (auch als InstantGO oder Always On, Always Connected PCs bezeichnet), einschließlich Surface-Geräten, müssen PCR 7 des TPM verwenden. In der Standardkonfiguration auf solchen Systemen bindet BitLocker an PCR 7 und PCR 11, wenn PCR 7 und sicherer Start ordnungsgemäß konfiguriert sind.

Auflösung nach der Installation von UEFI- oder TPM-Firmwareupdates auf Surface fordert BitLocker zum Wiederherstellungskennwort auf

Um die PCR-Werte zu überprüfen, die auf einem Gerät verwendet werden, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

manage-bde.exe -protectors -get <OSDriveLetter>:

In diesem Befehl <stellt OSDriveLetter> den Laufwerkbuchstaben des Betriebssystemlaufwerks dar.

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben und das Gerät zu reparieren:

Schritt 1: Deaktivieren der TPM-Schutzkomponenten auf dem Startlaufwerk

Wenn ein TPM- oder UEFI-Update installiert wurde und das Surface-Gerät nicht gestartet werden kann, auch wenn das richtige BitLocker-Wiederherstellungskennwort eingegeben wurde, kann die Möglichkeit zum Starten mithilfe des BitLocker-Wiederherstellungskennworts und eines Surface-Wiederherstellungsimages wiederhergestellt werden, um die TPM-Schutzkomponenten vom Startlaufwerk zu entfernen.

Führen Sie die folgenden Schritte aus, um das BitLocker-Wiederherstellungskennwort und ein Surface-Wiederherstellungsimage zum Entfernen der TPM-Schutzkomponenten vom Startlaufwerk zu verwenden:

1. Rufen Sie das BitLocker-Wiederherstellungskennwort aus dem Microsoft.com Konto des Surface-Benutzers ab. Wenn BitLocker von einer anderen Methode verwaltet wird, z. B. Microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager BitLocker Management oder Intune, wenden Sie sich an den Administrator, um Hilfe zu erfahren.

2. Verwenden Sie einen anderen Computer, um das Surface-Wiederherstellungsimage aus dem Surface Recovery Image Download herunterzuladen. Verwenden Sie das heruntergeladene Image, um ein USB-Wiederherstellungslaufwerk zu erstellen.

3. Fügen Sie das USB-Surface-Wiederherstellungsimagelaufwerk auf das Surface-Gerät ein, und starten Sie das Gerät.

4. Wenn Sie dazu aufgefordert werden, wählen Sie die folgenden Elemente aus:

   1. Die Sprache des Betriebssystems.

   2. Das Tastaturlayout.

5. Wählen Sie "Problembehandlung bei>erweiterten Optionen>" aus.

6. Führen Sie im Eingabeaufforderungsfenster die folgenden Befehle aus:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   Dabei gilt Folgendes:

   • <Das Kennwort> ist das BitLocker-Wiederherstellungskennwort, das in Schritt 1 abgerufen wurde.
   • <DriveLetter> ist der Laufwerkbuchstaben, der dem Betriebssystemlaufwerk zugewiesen ist.

   Notiz

   Weitere Informationen zur Verwendung dieses Befehls finden Sie unter manage-bde unlock.

7. Starten Sie den Computer neu.

8. Wenn Sie dazu aufgefordert werden, geben Sie das BitLocker-Wiederherstellungskennwort ein, das in Schritt 1 abgerufen wurde.

Notiz

Nachdem die TPM-Schutzkomponenten deaktiviert wurden, schützt die BitLocker-Laufwerkverschlüsselung das Gerät nicht mehr. Um die BitLocker-Laufwerkverschlüsselung erneut zu aktivieren, wählen Sie "Start" aus, geben Sie "BitLocker verwalten" ein, und drücken Sie dann die EINGABETASTE. Führen Sie die Schritte aus, um das Laufwerk zu verschlüsseln.

Schritt 2: Verwenden von Surface BMR zum Wiederherstellen von Daten und Zurücksetzen des Surface-Geräts

Um Daten vom Surface-Gerät wiederherzustellen, wenn Windows nicht gestartet wird, führen Sie die Schritte 1 bis 5 des Abschnitts Schritt 1 aus: Deaktivieren Sie die TPM-Schutzkomponenten auf dem Startlaufwerk , um zu einem Eingabeaufforderungsfenster zu gelangen. Sobald ein Eingabeaufforderungsfenster geöffnet ist, führen Sie die folgenden Schritte aus:

1. Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   In diesem Befehl ist Das Kennwort> das BitLocker-Wiederherstellungskennwort, das in Schritt 1 des Abschnitts Schritt 1 abgerufen wurde: Deaktivieren Sie die TPM-Schutzkomponenten auf dem Startlaufwerk, und< DriveLetter> ist der Laufwerkbuchstaben, der dem Betriebssystemlaufwerk zugewiesen ist.<

2. Nachdem das Laufwerk entsperrt wurde, verwenden Sie den copy Befehl, xcopy.exe um die Benutzerdaten auf ein anderes Laufwerk zu kopieren.

   Notiz

   Weitere Informationen zu diesen Befehlen finden Sie im Artikel zu Windows-Befehlen .

3. Um das Gerät mithilfe eines Surface-Wiederherstellungsimages zurückzusetzen, befolgen Sie die Anweisungen im Artikel Erstellen und Verwenden eines USB-Wiederherstellungslaufwerks für Surface.

Schritt 3: Wiederherstellen der Standard-PCR-Werte

Um zu verhindern, dass dieses Problem wiederholt wird, empfiehlt es sich, die Standardkonfiguration des sicheren Starts und der PCR-Werte wiederherzustellen.

Führen Sie die folgenden Schritte aus, um den sicheren Start auf einem Surface-Gerät zu aktivieren:

1. Halten Sie BitLocker an, indem Sie ein Windows PowerShell-Fenster mit erhöhten Rechten öffnen und das folgende PowerShell-Cmdlet ausführen:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In diesem Befehl <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

2. Starten Sie das Gerät neu, und bearbeiten Sie dann die UEFI-Einstellungen, um die Option "Sicherer Start" auf "Nur Microsoft" festzulegen.

3. Starten Sie das Gerät neu, und melden Sie sich bei Windows an.

4. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Führen Sie die folgenden Schritte aus, um die PCR-Einstellungen im TPM zurückzusetzen:

1. Deaktivieren Sie alle Gruppenrichtlinienobjekte, die die PCR-Einstellungen konfigurieren, oder entfernen Sie das Gerät aus allen Gruppen, die solche Richtlinien erzwingen.

   Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.

2. Halten Sie BitLocker an, indem Sie ein Windows PowerShell-Fenster mit erhöhten Rechten öffnen und das folgende PowerShell-Cmdlet ausführen:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In diesem Befehl <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

3. Führen Sie das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Schritt 4: Anhalten von BitLocker während TPM- oder UEFI-Firmwareupdates

Sie können dieses Szenario vermeiden, wenn Sie Updates auf Systemfirmware oder TPM-Firmware installieren, indem Sie BitLocker vorübergehend anhalten, bevor Sie diese Updates anwenden.

Wichtig

TPM- und UEFI-Firmwareupdates erfordern möglicherweise mehrere Neustarts während der Installation. Damit BitLocker während dieses Vorgangs angehalten wird, muss das PowerShell-Cmdlet Suspend-BitLocker verwendet werden, und der Parameter "Reboot Count " muss auf einen der folgenden Werte festgelegt werden:

• 2 oder höher: Dieser Wert legt fest, wie oft das Gerät neu gestartet wird, bevor die BitLocker-Geräteverschlüsselung fortgesetzt wird. Wenn Sie beispielsweise den Wert auf 2 festlegen, wird BitLocker nach einem zweimalen Neustart des Geräts fortgesetzt.

• 0: Dieser Wert hält die BitLocker-Laufwerkverschlüsselung unbegrenzt an. Um BitLocker fortzusetzen, muss das PowerShell-Cmdlet Resume-BitLocker oder ein anderer Mechanismus verwendet werden, um den BitLocker-Schutz fortzusetzen.

So setzen Sie BitLocker beim Installieren von TPM- oder UEFI-Firmwareupdates an:

1. Öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten, und führen Sie das folgende PowerShell-Cmdlet aus:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   In diesem PowerShell-Cmdlet <ist DriveLetter> der Buchstabe, der dem Laufwerk zugewiesen ist.

2. Installieren Sie die Surface-Gerätetreiber- und Firmwareupdates.

3. Starten Sie nach der Installation der Firmwareupdates den Computer neu, öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie dann das folgende PowerShell-Cmdlet aus:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard auf TPM 1.2: Bei jedem Neustart fordert BitLocker zum Wiederherstellungskennwort auf und gibt Fehler 0xC0210000

Nehmen Sie das folgende Szenario als Beispiel:

Ein Gerät verwendet TPM 1.2 und führt Windows 10, Version 1809, aus. Das Gerät verwendet auch virtualisierungsbasierte Sicherheitsfeatures wie Device Guard und Credential Guard. Jedes Mal, wenn das Gerät gestartet wird, wechselt das Gerät in den BitLocker-Wiederherstellungsmodus, und eine Fehlermeldung ähnlich der folgenden Fehlermeldung wird angezeigt:

Wiederherstellung

Ihr PC/Gerät muss repariert werden. Auf eine erforderliche Datei konnte nicht zugegriffen werden, da Der BitLocker-Schlüssel nicht ordnungsgemäß geladen wurde.

Fehlercode 0xc0210000

Sie müssen Wiederherstellungstools verwenden. Wenn Sie über keine Installationsmedien verfügen (z. B. einen Datenträger oder ein USB-Gerät), wenden Sie sich an ihren PC-Administrator oder PC/Gerätehersteller.

Ursache von Credential Guard/Device Guard auf TPM 1.2: Bei jedem Neustart fordert BitLocker zum Wiederherstellungskennwort auf und gibt Fehler 0xC0210000

TPM 1.2 unterstützt secure Launch nicht. Weitere Informationen finden Sie unter Systemüberwachung Schutz für sicheres Starten und SMM: Anforderungen, die von Systemüberwachung aktivierten Computern erfüllt sind

Weitere Informationen zu dieser Technologie finden Sie unter Windows Defender Systemüberwachung: So schützt ein hardwarebasierter Vertrauensstamm Windows

Auflösung für Credential Guard/Device Guard auf TPM 1.2: Bei jedem Neustart fordert BitLocker zum Wiederherstellungskennwort auf und gibt Fehler 0xC0210000

Verwenden Sie eine der folgenden beiden Lösungen, um dieses Problem zu beheben:

• Entfernen Sie jedes Gerät, das TPM 1.2 verwendet, aus jeder Gruppe, die GPOs unterliegt, die den sicheren Start erzwingen.
• Bearbeiten Sie das GPO "Virtualisierungsbasierte Sicherheit aktivieren", um die Konfiguration für einmaliges Starten auf "Deaktiviert" festzulegen.