Partager via


Écran de récupération de prédémarrage BitLocker

Pendant la récupération BitLocker, l’écran de récupération de prédémarrage est un point de contact critique pour les utilisateurs, offrant un message de récupération personnalisé adapté aux besoins de l’organisation, une URL de récupération directe pour une prise en charge supplémentaire et des conseils stratégiques pour aider les utilisateurs à localiser leur clé de récupération.

Cet article décrit les différents éléments affichés sur l’écran de récupération de pré-démarrage, en détaillant la façon dont les paramètres de stratégie et l’état des clés de récupération influencent les informations présentées. Qu’il s’agisse d’un message personnalisé ou d’une aide pratique, l’écran de récupération de prédémarrage est conçu pour simplifier le processus de récupération pour les utilisateurs

Écran de récupération de prédémarrage par défaut

Par défaut, l’écran de récupération BitLocker affiche un message générique et l’URL https://aka.ms/recoverykeyfaq.

Message de récupération personnalisé

Avec les paramètres de stratégie BitLocker, vous pouvez configurer un message de récupération et une URL personnalisés sur l’écran de récupération de prédémarrage BitLocker. Le message de récupération et l’URL personnalisés peuvent inclure l’adresse du portail de récupération en libre-service BitLocker, le site web interne informatique ou un numéro de téléphone pour le support technique.

Paramètres de stratégie BitLocker configurés avec un message de récupération personnalisé.

Paramètres de stratégie BitLocker configurés avec une URL de récupération personnalisée.

Pour plus d’informations sur la configuration d’un message de récupération personnalisé avec les paramètres de stratégie, consultez Configurer le message et l’URL de récupération de prédémarrage.

Indicateurs de clé de récupération

Les métadonnées BitLocker incluent des informations sur le moment et l’endroit où une clé de récupération BitLocker a été enregistrée. Ces informations ne sont pas exposées via l’interface utilisateur ou une API publique. Il est utilisé uniquement par l’écran de récupération BitLocker sous la forme d’indicateurs pour aider un utilisateur à localiser la clé de récupération d’un volume. Les indicateurs s’affichent sur l’écran de récupération et font référence à l’emplacement où la clé a été enregistrée. Les indicateurs s’appliquent à l’écran de récupération du gestionnaire de démarrage et à l’écran de déverrouillage WinRE.

Il existe des règles qui régissent l’indicateur affiché pendant la récupération (dans l’ordre de traitement) :

  1. Toujours afficher le message de récupération personnalisé, s’il est configuré via les paramètres de stratégie
  2. Toujours afficher l’indicateur générique : pour plus d’informations, accédez à https://aka.ms/recoverykeyfaq
  3. S’il existe plusieurs clés de récupération sur le volume, hiérarchiser la dernière clé de récupération créée (et sauvegardée avec succès)
  4. Hiérarchiser les clés avec sauvegarde réussie par rapport aux clés qui n’ont jamais été sauvegardées
  5. Hiérarchisez les indicateurs de sauvegarde dans l’ordre suivant pour les emplacements de sauvegarde distants :
    • Compte Microsoft
    • Microsoft Entra ID
    • Active Directory
  6. Si une clé a été imprimée et enregistrée dans un fichier, afficher un indicateur combiné Rechercher une impression ou un fichier texte avec la clé, au lieu de deux indicateurs distincts
  7. Si plusieurs sauvegardes du même type (suppression ou local) ont été effectuées pour la même clé de récupération, hiérarchiser les informations de sauvegarde avec la date de sauvegarde la plus récente
  8. Il n’existe aucun indicateur spécifique pour les clés enregistrées dans un annuaire Active Directory local. Dans ce cas, un message personnalisé (s’il est configuré) ou un message générique, Contacter le support technique de votre organisation, s’affiche.
  9. Si deux clés de récupération sont présentes et qu’une seule est sauvegardée, le système demande la clé sauvegardée, même si l’autre clé est plus récente

Exemple : mot de passe de récupération unique enregistré dans un fichier et sauvegarde unique

Dans ce scénario, le mot de passe de récupération est enregistré dans un fichier

Important

Il n’est pas recommandé d’imprimer des clés de récupération ou de les enregistrer dans un fichier. Utilisez plutôt un compte Microsoft, un ID Microsoft Entra ou une sauvegarde Active Directory.

Exemple : mot de passe de récupération unique pour le compte Microsoft et la sauvegarde unique

Dans ce scénario, une URL personnalisée est configurée. Le mot de passe de récupération est le suivant :

  • enregistré dans un compte Microsoft
  • non imprimé
  • non enregistré dans un fichier

Résultat : les indicateurs pour l’URL personnalisée et le compte Microsoft (https://aka.ms/myrecoverykey) s’affichent.

À compter de Windows 11, version 24H2, l’écran de récupération de prédémarrage BitLocker inclut l’indicateur de compte Microsoft (MSA), si le mot de passe de récupération est enregistré dans un compte MSA. Cet indicateur aide l’utilisateur à comprendre quel compte MSA a été utilisé pour stocker les informations de clé de récupération.

Exemple : mot de passe de récupération unique dans AD DS et sauvegarde unique

Dans ce scénario, une URL personnalisée est configurée. Le mot de passe de récupération est le suivant :

  • enregistré dans Active Directory
  • non imprimé
  • non enregistré dans un fichier

Résultat : seule l’URL personnalisée est affichée.

Exemple : mot de passe de récupération unique avec plusieurs sauvegardes

Dans ce scénario, le mot de passe de récupération est :

  • enregistré dans un compte Microsoft
  • enregistré dans l’ID Microsoft Entra
  • imprimé
  • enregistré dans le fichier

Résultat : seul l’indicateur de compte Microsoft (https://aka.ms/myrecoverykey) s’affiche.

Exemple : plusieurs mots de passe de récupération avec sauvegarde sinlge

Dans ce scénario, il existe deux mots de passe de récupération.

Le mot de passe de récupération n°1 est le suivant :

  • enregistré dans le fichier
  • heure de création : 13h
  • ID de clé : 4290B6C0-B17A-497A-8552-272CC30E80D4

Le mot de passe de récupération n° 2 est le suivant :

  • non sauvegardé
  • heure de création : 15h
  • ID de clé : 045219EC-A53B-41AE-B310-08EC883AAEDD

Résultat : seul l’indicateur de la clé correctement sauvegardée s’affiche, même s’il ne s’agit pas de la clé la plus récente.

Exemple : plusieurs mots de passe de récupération avec plusieurs sauvegardes

Dans ce scénario, il existe deux mots de passe de récupération.

Le mot de passe de récupération n°1 est le suivant :

  • Enregistré dans un compte Microsoft
  • Enregistré dans l’ID Microsoft Entra
  • heure de création : 13h
  • ID de clé : 4290B6C0-B17A-497A-8552-272CC30E80D4

Le mot de passe de récupération n° 2 est le suivant :

  • Enregistré dans l’ID Microsoft Entra
  • heure de création : 15h
  • ID de clé : 045219EC-A53B-41AE-B310-08EC883AAEDD

Résultat : l’indicateur d’ID Microsoft Entra (https://aka.ms/aadrecoverykey), qui est la clé la plus récente enregistrée, s’affiche.

Écran Informations de récupération supplémentaires

À compter de Windows 11, version 24H2, l’écran de récupération de prédémarrage BitLocker améliore les informations d’erreur de récupération. L’écran de récupération fournit des informations plus détaillées sur la nature de l’erreur de récupération, ce qui permet aux utilisateurs de mieux comprendre et résoudre le problème.

Les utilisateurs ont la possibilité de consulter des informations supplémentaires sur l’erreur de récupération en appuyant sur la touche Alt .

L’écran Informations de récupération supplémentaires contient une catégorie d’erreur et un code, que vous pouvez utiliser pour récupérer plus de détails dans la section suivante de cet article.

Les sections suivantes décrivent les codes de chaque catégorie d’erreur BitLocker. Chaque section contient un tableau avec le message d’erreur affiché sur l’écran de récupération et la cause de l’erreur. Certaines tables incluent une résolution possible.

Les catégories d’erreur sont les suivantes :

Initié par l’utilisateur

Code d’erreur Cause de l’erreur Résolution
E_FVE_USER_REQUESTED_RECOVERY L’utilisateur est explicitement entré en mode de récupération à partir d’un écran avec l’option vers ESC le mode de récupération.
E_FVE_BOOT_DEBUG_ENABLED Le mode de débogage de démarrage est activé. Supprimez l’option de débogage de démarrage de la base de données de configuration de démarrage.

Intégrité du code

L’application de la signature de pilote est utilisée pour garantir l’intégrité du code du système d’exploitation.

Code d’erreur Cause de l’erreur
E_FVE_CI_DISABLED L’application de la signature du pilote est désactivée.

Verrouillage de l’appareil

La fonctionnalité de seuil de verrouillage d’appareil permet à un administrateur de configurer la connexion Windows avec la protection BitLocker. Après le nombre configuré de tentatives de connexion Windows ayant échoué, l’appareil redémarre et ne peut être récupéré qu’en fournissant une méthode de récupération BitLocker.

Pour tirer parti de cette fonctionnalité, vous devez configurer le paramètre de stratégie Ouverture de session interactive : Seuil de verrouillage du compte d’ordinateur situé dans Configuration> ordinateurParamètres Windows Paramètres>de sécurité Stratégies>locales>Stratégies de sécurité Options de sécurité. Vous pouvez également utiliser le paramètre de stratégie Exchange ActiveSyncMaxFailedPasswordAttempts ou le fournisseur de services de configuration (CSP) DeviceLock.

Code d’erreur Cause de l’erreur Résolution
E_FVE_DEVICE_LOCKEDOUT Verrouillage de l’appareil déclenché en raison d’un trop grand nombre de tentatives de connexion incorrectes. Une méthode de récupération BitLocker est nécessaire pour revenir à l’écran de connexion.
E_FVE_DEVICE_LOCKOUT_MISMATCH Le compteur de verrouillage de l’appareil n’est pas synchronisé. Une méthode de récupération BitLocker est nécessaire pour revenir à l’écran de connexion.

Configuration de démarrage

La base de données de configuration de démarrage (BCD) contient des informations critiques pour l’environnement de démarrage Windows.

Code d’erreur Cause de l’erreur Résolution
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
BitLocker est entré en mode de récupération car une application de démarrage a changé.
BitLocker effectue le suivi des données à l’intérieur du BCD et la récupération BitLocker peut se produire lorsque ces données changent sans avertissement.

Reportez-vous à l’écran de récupération pour trouver l’application de démarrage qui a changé.
Pour résoudre ce problème, restaurez la configuration BCD. Une méthode de récupération BitLocker est nécessaire pour déverrouiller l’appareil si la configuration BCD ne peut pas être restaurée avant le démarrage.

Pour plus d’informations, consultez Paramètres des données de configuration de démarrage et BitLocker.

TPM

Le module de plateforme sécurisée (TPM) est un matériel de chiffrement ou un microprogramme utilisé pour sécuriser un appareil. BitLocker crée un protecteur TPM pour gérer la protection des clés de chiffrement utilisées pour chiffrer vos données.

Au démarrage, BitLocker tente de communiquer avec le module de plateforme sécurisée pour déverrouiller l’appareil et accéder à vos données.

Code d’erreur Cause de l’erreur
E_FVE_TPM_DISABLED Un module de plateforme sécurisée est présent, mais il est désactivé pour une utilisation avant ou pendant le démarrage.
E_FVE_TPM_INVALIDATED Un module TPM est présent, mais invalidé.
E_FVE_BAD_SRK La clé racine de stockage interne du module de plateforme sécurisée est endommagée.
E_FVE_TPM_NOT_DETECTED Le système de démarrage n’a pas ou ne détecte pas de TPM.
E_MATCHING_PCRS_TPM_FAILURE Le TPM a échoué de façon inattendue lors de la déconnexion de la clé de chiffrement.
E_FVE_TPM_FAILURE Fourre-tout pour les autres erreurs TPM.

Pour plus d’informations, consultez Vue d’ensemble de la technologie de module de plateforme sécurisée et BitLocker et TPM.

Protecteur

Protecteurs TPM

Le module TPM contient plusieurs registres de configuration de plateforme (PCR) qui peuvent être utilisés dans le profil de validation du protecteur TPM BitLocker. Les pcr sont utilisés pour valider l’intégrité du processus de démarrage, c’est-à-dire que la configuration de démarrage et le flux de démarrage n’ont pas été falsifiés.

La récupération BitLocker peut être le résultat de modifications inattendues dans les fichiers PCR utilisés dans le profil de validation du protecteur TPM. Les modifications apportées aux fichiers PCR non utilisés dans le profil de protecteur TPM n’influencent pas BitLocker.

Code d’erreur Cause de l’erreur Résolution
E_FVE_PCR_MISMATCH La configuration de l’appareil a changé.

Les causes possibles sont les suivantes :
- Un média de démarrage est inséré. La suppression et le redémarrage de votre appareil peuvent résoudre ce problème
- Une mise à jour du microprogramme a été appliquée sans mettre à jour le protecteur TPM
Une méthode de récupération est nécessaire pour déverrouiller l’appareil.

Pour plus d’exemples, consultez Scénarios de récupération BitLocker.

Cas spéciaux pour la PCR 7

Si le logiciel de protection TPM utilise le protocole PCR 7 dans le profil de validation, BitLocker s’attend à ce que le protocole PCR 7 mesure un ensemble spécifique d’événements pour le démarrage sécurisé. Ces mesures sont définies dans la spécification UEFI. Pour plus d’informations, consultez La racine statique des mesures d’approbation

Code d’erreur Cause de l’erreur Résolution
E_FVE_SECUREBOOT_DISABLED Le démarrage sécurisé a été désactivé. Pour accéder à la clé de chiffrement et déverrouiller votre appareil, BitLocker s’attend à ce que le démarrage sécurisé soit activé. La réactivation du démarrage sécurisé et le redémarrage du système peuvent résoudre le problème de récupération. Sinon, une méthode de récupération est requise pour accéder à l’appareil.
E_FVE_SECUREBOOT_CHANGED La configuration du démarrage sécurisé a changé de façon inattendue. La configuration de démarrage mesurée en PCR 7 a changé.
Cela peut être dû aux raisons suivantes :
- Mesure supplémentaire actuellement présente qui n’était pas présente lorsque BitLocker a mis à jour le protecteur TPM
- Mesure manquante qui était présente lors de la dernière mise à jour du protecteur TPM par BitLocker, mais qui n’est plus présente
- Un événement attendu a une mesure différente
Une méthode de récupération est nécessaire pour déverrouiller l’appareil.

Inconnu

Code d’erreur Cause de l’erreur Résolution
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker est entré en mode de récupération en raison d’une erreur inconnue. Une méthode de récupération est nécessaire pour déverrouiller l’appareil.