BitLocker-herstel: bekende problemen

In dit artikel worden veelvoorkomende problemen beschreven die ervoor kunnen zorgen dat BitLocker niet werkt zoals verwacht wanneer een station wordt hersteld of waardoor BitLocker onverwacht herstel start. Het artikel bevat ook richtlijnen voor het oplossen van deze problemen.

Notitie

In dit artikel verwijst 'herstelwachtwoord' naar het herstelwachtwoord van 48 cijfers en 'herstelsleutel' naar een herstelsleutel van 32 cijfers. Zie BitLocker-sleutelbeveiligingen voor meer informatie.

Zie de hardwarevereisten voor automatische apparaatversleuteling voor BitLocker voor meer informatie over apparaatversleuteling.

Windows vraagt om een niet-bestaand BitLocker-herstelwachtwoord

Windows vraagt om een BitLocker-herstelwachtwoord. Er is echter geen BitLocker-herstelwachtwoord geconfigureerd.

Oplossing voor Windows-prompts voor een niet-bestaand BitLocker-herstelwachtwoord

De veelgestelde vragen over BitLocker en Active Directory-domein Services (AD DS) hebben betrekking op situaties die dit symptoom kunnen produceren en bevat informatie over de procedure om het probleem op te lossen:

• Wat gebeurt er als BitLocker is ingeschakeld op een computer voordat de computer lid wordt van het domein?

• Wat gebeurt er als de back-up in eerste instantie mislukt? Probeert BitLocker het opnieuw?

Er is geen back-up gemaakt van het herstelwachtwoord voor een laptop en de laptop is vergrendeld

Bekijk het volgende scenario:

De harde schijf van een Windows 11- of Windows 10-laptop moet worden hersteld. De schijf is versleuteld met bitLocker-stuurprogrammaversleuteling. Er is echter geen back-up gemaakt van het BitLocker-herstelwachtwoord en de gebruikelijke gebruiker van de laptop is niet beschikbaar om het wachtwoord op te geven.

Oplossing voor het herstelwachtwoord voor een laptop is geen back-up gemaakt

U kunt een van de volgende methoden gebruiken om handmatig een back-up te maken of de bestaande herstelgegevens van een onlineclient te synchroniseren:

• Maak een WMI-script (Windows Management Instrumentation) waarmee een back-up van de informatie wordt gemaakt. Zie BitLocker-stationsversleutelingsprovider voor meer informatie.

• Gebruik in een opdrachtpromptvenster met verhoogde bevoegdheid de opdracht manage-bde.exe om een back-up van de gegevens te maken.

  Als u bijvoorbeeld een back-up wilt maken van alle herstelgegevens voor het station C: naar AD DS, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

  cmd manage-bde.exe -protectors -adbackup C:

---

Notitie

BitLocker beheert dit back-upproces niet automatisch.

Tabletapparaten ondersteunen het gebruik manage-bde.exe -forcerecovery van de herstelmodus niet

Bekijk het volgende scenario:

BitLocker-herstel moet worden getest op een tablet of leiapparaat door de volgende opdracht uit te voeren:

cmd manage-bde.exe -forcerecovery

---

Na het invoeren van het herstelwachtwoord kan het apparaat echter niet worden gestart.

Oorzaak van tabletapparaten biedt geen ondersteuning voor het gebruik van manage-bde.exe -forcerecovery de herstelmodus

Belangrijk

Tabletapparaten bieden geen ondersteuning voor de manage-bde.exe -forcerecovery opdracht.

Dit probleem treedt op omdat Windows Boot Manager geen aanraakinvoer kan verwerken tijdens de opstartfase van het opstarten. Als Boot Manager detecteert dat het apparaat een tablet is, wordt het opstartproces omgeleid naar de Windows Recovery Environment (WinRE), die aanraakinvoer kan verwerken.

Als WindowsRE de TPM-beveiliging op de harde schijf detecteert, wordt er een PCR-reseal uitgevoerd. Met de manage-bde.exe -forcerecovery opdracht worden echter de TPM-beveiligingen op de harde schijf verwijderd. Daarom kan WinRE de PCR's niet opnieuw verzenden. Deze fout activeert een oneindige BitLocker-herstelcyclus en voorkomt dat Windows wordt gestart.

Dit gedrag is standaard voor alle versies van Windows.

Tijdelijke oplossing voor tabletapparaten biedt geen ondersteuning voor het gebruik van manage-bde.exe -forcerecovery de herstelmodus testen

Voer de volgende stappen uit om de herstartlus op te lossen:

1. Selecteer dit station overslaan in het BitLocker-herstelscherm.

2. Selecteer Problemen met de opdrachtprompt Geavanceerde opties>oplossen.>

3. Voer in het opdrachtpromptvenster de volgende opdrachten uit:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Sluit het venster Opdrachtprompt.

5. Schakel het apparaat uit.

6. Start het apparaat. Windows moet zoals gebruikelijk worden gestart.

Na de installatie van UEFI- of TPM-firmware-updates op Surface vraagt BitLocker om het herstelwachtwoord

Bekijk het volgende scenario:

Op een Surface-apparaat is BitLocker-stationsversleuteling ingeschakeld. De firmware van de TPM van de Surface wordt bijgewerkt of een update die de handtekening van de systeemfirmware wijzigt, wordt geïnstalleerd. De Surface TPM-update (IFX) is bijvoorbeeld geïnstalleerd.

U ondervindt een of meer van de volgende symptomen op het Surface-apparaat:

• Bij het opstarten vraagt het Surface-apparaat om een BitLocker-herstelwachtwoord. Het juiste herstelwachtwoord wordt ingevoerd, maar Windows start niet op.

• Het opstarten wordt rechtstreeks uitgevoerd in de UEFI-instellingen (Unified Extensible Firmware Interface) van het Surface-apparaat.

• Het Surface-apparaat lijkt een oneindige herstartlus te hebben.

Oorzaak van na het installeren van UEFI- of TPM-firmware-updates op Surface vraagt BitLocker om het herstelwachtwoord

Dit probleem treedt op als de TPM van het Surface-apparaat is geconfigureerd voor het gebruik van PCR-waarden (Platform Configuration Register) anders dan de standaardwaarden van PCR 7 en PCR 11. Met de volgende instellingen kan de TPM bijvoorbeeld op deze manier worden geconfigureerd:

• Beveiligd opstarten is uitgeschakeld.
• PCR-waarden zijn expliciet gedefinieerd, zoals op groepsbeleid.

Apparaten die ondersteuning bieden voor Verbonden stand-by (ook wel Bekend als InstantGO of AlwaysOn, Always Connected Pc's), inclusief Surface-apparaten, moeten PCR 7 van de TPM gebruiken. In de standaardconfiguratie van dergelijke systemen verbindt BitLocker met PCR 7 en PCR 11 als PCR 7 en Beveiligd opstarten correct zijn geconfigureerd.

Oplossing voor na het installeren van UEFI- of TPM-firmware-updates op Surface, BitLocker vraagt om het herstelwachtwoord

Als u de PCR-waarden wilt controleren die op een apparaat worden gebruikt, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

manage-bde.exe -protectors -get <OSDriveLetter>:

In deze opdracht <vertegenwoordigt OSDriveLetter> de stationsletter van het besturingssysteemstation.

Volg deze stappen om dit probleem op te lossen en het apparaat te herstellen:

Stap 1: Schakel de TPM-protectors op het opstartstation uit

Als een TPM- of UEFI-update is geïnstalleerd en het Surface-apparaat niet kan worden gestart, zelfs als het juiste BitLocker-herstelwachtwoord is ingevoerd, kan de mogelijkheid om te starten worden hersteld met behulp van het BitLocker-herstelwachtwoord en een Surface-herstelinstallatiekopie om de TPM-beveiligingen van het opstartstation te verwijderen.

Als u het BitLocker-herstelwachtwoord en een Surface-herstelinstallatiekopie wilt gebruiken om de TPM-beveiligingen van het opstartstation te verwijderen, voert u de volgende stappen uit:

1. Haal het BitLocker-herstelwachtwoord op uit het Microsoft.com-account van de Surface-gebruiker. Als BitLocker wordt beheerd door een andere methode, zoals Microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager BitLocker Management of Intune, neemt u contact op met de beheerder voor hulp.

2. Gebruik een andere computer om de Surface Recovery-installatiekopieën te downloaden van de Download van Surface Recovery-installatiekopieën. Gebruik de gedownloade installatiekopieën om een USB-herstelstation te maken.

3. Plaats het USB Surface-herstelinstallatiekopieënstation in het Surface-apparaat en start het apparaat.

4. Selecteer de volgende items wanneer u hierom wordt gevraagd:

   1. De taal van het besturingssysteem.

   2. De toetsenbordindeling.

5. Selecteer Problemen met de opdrachtprompt Geavanceerde opties>oplossen.>

6. Voer in het opdrachtpromptvenster de volgende opdrachten uit:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   waarbij geldt:

   • <Wachtwoord> is het BitLocker-herstelwachtwoord dat is verkregen in stap 1
   • <DriveLetter> is de stationsletter die is toegewezen aan het besturingssysteemstation

   Notitie

   Zie manage-bde unlock voor meer informatie over het gebruik van deze opdracht.

7. Start de computer opnieuw op.

8. Wanneer u hierom wordt gevraagd, voert u het BitLocker-herstelwachtwoord in dat is verkregen in stap 1.

Notitie

Nadat de TPM-beveiligingen zijn uitgeschakeld, beveiligt BitLocker-stationsversleuteling het apparaat niet meer. Als u BitLocker-stationsversleuteling opnieuw wilt inschakelen, selecteert u Start, typt u BitLocker beheren en drukt u op Enter. Volg de stappen om het station te versleutelen.

Stap 2: Surface BMR gebruiken om gegevens te herstellen en het Surface-apparaat opnieuw in te stellen

Als u gegevens van het Surface-apparaat wilt herstellen als Windows niet start, volgt u stap 1 tot en met 5 van de sectie Stap 1: Schakel de TPM-beveiligingen op het opstartstation uit om naar een opdrachtpromptvenster te gaan. Zodra een opdrachtpromptvenster is geopend, voert u de volgende stappen uit:

1. Voer de volgende opdracht uit vanaf de opdrachtregel:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   In deze opdracht <is Wachtwoord> het BitLocker-herstelwachtwoord dat is verkregen in stap 1 van de sectie Stap 1: Schakel de TPM-beveiligingen op het opstartstation uit en <DriveLetter> is de stationsletter die is toegewezen aan het besturingssysteemstation.

2. Nadat het station is ontgrendeld, gebruikt u de copy of xcopy.exe opdracht om de gebruikersgegevens naar een ander station te kopiëren.

   Notitie

   Zie het artikel Windows-opdrachten voor meer informatie over deze opdrachten.

3. Volg de instructies in het artikel Een USB-herstelstation voor Surface maken en gebruiken om het apparaat opnieuw in te stellen met behulp van een Surface-herstelinstallatiekopieën.

Stap 3: de standaard-PCR-waarden herstellen

Om te voorkomen dat dit probleem terugkerend is het raadzaam om de standaardconfiguratie van Beveiligd opstarten en de PCR-waarden te herstellen.

Voer de volgende stappen uit om Beveiligd opstarten in te schakelen op een Surface-apparaat:

1. BitLocker onderbreken door een Windows PowerShell-venster met verhoogde bevoegdheid te openen en de volgende PowerShell-cmdlet uit te voeren:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In deze opdracht <is DriveLetter> de letter die is toegewezen aan het station.

2. Start het apparaat opnieuw op en bewerk vervolgens de UEFI-instellingen om de optie Beveiligd opstarten in te stellen op Alleen Microsoft.

3. Start het apparaat opnieuw op en meld u aan bij Windows.

4. Open een PowerShell-venster met verhoogde bevoegdheid en voer de volgende PowerShell-cmdlet uit:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Voer de volgende stappen uit om de PCR-instellingen op de TPM opnieuw in te stellen:

1. Schakel groepsbeleidsobjecten die de PCR-instellingen configureren uit of verwijder het apparaat uit groepen die dergelijke beleidsregels afdwingen.

   Zie Instellingen voor BitLocker-groepsbeleid voor meer informatie.

2. BitLocker onderbreken door een Windows PowerShell-venster met verhoogde bevoegdheid te openen en de volgende PowerShell-cmdlet uit te voeren:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   In deze opdracht <is DriveLetter> de letter die is toegewezen aan het station.

3. Voer de volgende PowerShell-cmdlet uit:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Stap 4: BitLocker onderbreken tijdens TPM- of UEFI-firmware-updates

U kunt dit scenario voorkomen bij het installeren van updates voor systeemfirmware of TPM-firmware door BitLocker tijdelijk op te schorten voordat dergelijke updates worden toegepast.

Belangrijk

TPM- en UEFI-firmware-updates kunnen meerdere herstarts vereisen tijdens de installatie. Als u BitLocker tijdens dit proces wilt onderbreken, moet de PowerShell-cmdlet Suspend-BitLocker worden gebruikt en moet de parameter Reboot Count worden ingesteld op een van de volgende waarden:

• 2 of hoger: Met deze waarde wordt het aantal keren ingesteld dat het apparaat opnieuw wordt opgestart voordat BitLocker-apparaatversleuteling wordt hervat. Als u bijvoorbeeld de waarde instelt op 2 , wordt BitLocker hervat nadat het apparaat tweemaal opnieuw is opgestart.

• 0: Met deze waarde wordt BitLocker-stationsversleuteling voor onbepaalde tijd onderbroken. Als u BitLocker wilt hervatten, moet de PowerShell-cmdlet Resume-BitLocker of een ander mechanisme worden gebruikt om de BitLocker-beveiliging te hervatten.

BitLocker onderbreken tijdens het installeren van TPM- of UEFI-firmware-updates:

1. Open een Windows PowerShell-venster met verhoogde bevoegdheid en voer de volgende PowerShell-cmdlet uit:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   In deze PowerShell-cmdlet <is DriveLetter> de letter die aan het station is toegewezen.

2. Installeer het Surface-apparaatstuurprogramma en de firmware-updates.

3. Nadat u de firmware-updates hebt geïnstalleerd, start u de computer opnieuw op, opent u een PowerShell-venster met verhoogde bevoegdheid en voert u vervolgens de volgende PowerShell-cmdlet uit:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard op TPM 1.2: Bij elke herstart vraagt BitLocker om het herstelwachtwoord en retourneert de fout 0xC0210000

Bekijk het volgende scenario:

Een apparaat maakt gebruik van TPM 1.2 en voert Windows 10 versie 1809 uit. Het apparaat maakt ook gebruik van beveiligingsfuncties op basis van virtualisatie, zoals Device Guard en Credential Guard. Telkens wanneer het apparaat wordt gestart, wordt de BitLocker-herstelmodus geactiveerd en wordt er een foutbericht weergegeven dat vergelijkbaar is met het volgende foutbericht:

Herstel

Uw pc/apparaat moet worden hersteld. Een vereist bestand kan niet worden geopend omdat uw BitLocker-sleutel niet correct is geladen.

Foutcode 0xc0210000

U moet herstelhulpprogramma's gebruiken. Als u geen installatiemedia hebt (zoals een schijf of USB-apparaat), neemt u contact op met uw pc-beheerder of pc/apparaatfabrikant.

Oorzaak van Credential Guard/Device Guard op TPM 1.2: Bij elke herstart vraagt BitLocker om het herstelwachtwoord en retourneert de fout 0xC0210000

TPM 1.2 biedt geen ondersteuning voor Beveiligd starten. Zie System Guard Secure Launch en SMM-beveiliging voor meer informatie: Vereisten waaraan door System Guard enabled Machines wordt voldaan

Zie Windows Defender System Guard voor meer informatie over deze technologie: hoe een op hardware gebaseerde basis van vertrouwen Helpt Windows te beveiligen

Oplossing voor Credential Guard/Device Guard op TPM 1.2: Bij elke herstart vraagt BitLocker om het herstelwachtwoord en retourneert fout 0xC0210000

Gebruik een van de volgende twee oplossingen om dit probleem op te lossen:

• Verwijder elk apparaat dat TPM 1.2 gebruikt uit een groep die onderhevig is aan groepsbeleidsobjecten die beveiligd starten afdwingen.
• Bewerk het groepsbeleidsobject beveiliging op basis van virtualisatie inschakelen om de configuratie voor beveiligd starten in te stellen op Uitgeschakeld.