Monitowany o klucz odzyskiwania funkcji BitLocker po zainstalowaniu aktualizacji oprogramowania układowego Surface UEFI lub TPM na urządzeniu Surface

Ten artykuł zawiera obejścia problemu, w którym jest wyświetlany monit o klucz odzyskiwania funkcji BitLocker po zainstalowaniu aktualizacji urządzenia Surface UEFI lub oprogramowania układowego TPM na urządzeniu Surface.

Dotyczy: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1. generacji), Surface Pro (5. generacji), Surface Book 2 - 13 cali, Surface Pro z LTE Advanced, Surface Book 2 - 15 cali
Oryginalny numer KB: 4057282

Ważne

Ten artykuł zawiera informacje, które pokazują, jak ułatwić obniżenie ustawień zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany w celu obejścia określonego problemu. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z wdrożeniem tego obejścia w danym środowisku. Jeśli to obejście zostanie zaimplementowane, wykonaj odpowiednie dodatkowe kroki, aby ułatwić ochronę komputera.

Symptomy

Na urządzeniu Surface występuje co najmniej jeden z następujących objawów:

• Podczas uruchamiania zostanie wyświetlony monit o podanie klucza odzyskiwania funkcji BitLocker i wprowadź prawidłowy klucz odzyskiwania, ale system Windows nie uruchamia się.
• Rozruch jest uruchamiany bezpośrednio w ustawieniach interfejsu UEFI (Surface Unified Extensible Firmware Interface).
• Urządzenie Surface wydaje się być w nieskończonej pętli ponownego uruchamiania.

Przyczyna

To zachowanie może wystąpić w następującym scenariuszu:

• Funkcja BitLocker jest włączona i skonfigurowana do używania wartości rejestru konfiguracji platformy (PCR) innych niż wartości domyślne PCR 7 i PCR 11, na przykład gdy:

  • Bezpieczny rozruch jest wyłączony.
  • Wartości PCR zostały jawnie zdefiniowane, na przykład przez zasady grupy.

• Instalujesz aktualizację oprogramowania układowego, która aktualizuje oprogramowanie układowe modułu TPM urządzenia lub zmienia podpis oprogramowania układowego systemu. Na przykład zainstalujesz aktualizację surface dTPM (IFX).

Uwaga 16.

Możesz sprawdzić wartości PCR, które są używane na urządzeniu, uruchamiając następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

manage-bde.exe -protectors -get <OSDriveLetter>:

PcR 7 jest wymaganiem dla urządzeń obsługujących wstrzymanie połączone (znane również jako InstantGO lub Always On, Zawsze połączone komputery), w tym urządzenia Surface. W takich systemach, jeśli moduł TPM z pcR 7 i bezpieczny rozruch są poprawnie skonfigurowane, funkcja BitLocker wiąże się z PCR 7 i PCR 11 domyślnie. Aby uzyskać więcej informacji, zobacz "Informacje o rejestrze konfiguracji platformy (PCR) w temacie Ustawienia zasad grupy funkcji BitLocker.

Rozwiązanie

Ostrzeżenie

Szyfrowanie dysków funkcją BitLocker pomaga chronić poufne informacje organizacji przez szyfrowanie danych. To obejście, aby tymczasowo wyłączyć funkcję BitLocker, może narażać dane na ryzyko. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.

Metoda 1. Wstrzymanie funkcji BitLocker podczas aktualizacji oprogramowania układowego MODUŁU TPM lub UEFI

Ten scenariusz można uniknąć podczas instalowania aktualizacji oprogramowania układowego systemu lub oprogramowania układowego modułu TPM przez tymczasowe zawieszenie funkcji BitLocker przed zastosowaniem aktualizacji do modułu TPM lub oprogramowania układowego UEFI przy użyciu funkcji Suspend-BitLocker.

Uwaga 16.

Aktualizacje modułu TPM i oprogramowania układowego UEFI mogą wymagać wielu ponownych uruchomień podczas instalacji. Dlatego wstrzymanie funkcji BitLocker należy wykonać za pomocą polecenia cmdlet Suspend-BitLocker i przy użyciu parametru RebootCount w celu określenia liczby ponownych uruchomień większych niż 2 w celu wstrzymania funkcji BitLocker podczas procesu aktualizacji oprogramowania układowego. Liczba ponownych uruchomień 0 spowoduje zawieszenie funkcji BitLocker przez czas nieokreślony, dopóki funkcja BitLocker nie zostanie wznowiona za pomocą polecenia cmdlet Programu PowerShell Resume-BitLocker lub innego mechanizmu.

Aby zawiesić funkcję BitLocker na potrzeby instalacji aktualizacji oprogramowania układowego MODUŁU TPM lub UEFI:

1. Otwórz administracyjną sesję programu PowerShell.

2. Wprowadź następujące polecenie cmdlet i naciśnij Enter:

   Suspend-BitLocker -MountPoint "C:" -RebootCount 0
   

   gdzie C: to dysk przypisany do dysku.

3. Zainstaluj aktualizacje sterownika urządzenia Surface i oprogramowania układowego.

4. Po pomyślnej instalacji aktualizacji oprogramowania układowego wznów funkcję BitLocker przy użyciu polecenia cmdlet Resume-BitLocker w następujący sposób:

   Resume-BitLocker -MountPoint "C:"
   

Metoda 2. Włączanie domyślne wartości pcR bezpiecznego rozruchu i przywracania

Zdecydowanie zalecamy przywrócenie domyślnej i zalecanej konfiguracji wartości bezpiecznego rozruchu i pcR po zawieszeniu funkcji BitLocker, aby zapobiec wprowadzeniu funkcji BitLocker Recovery podczas stosowania przyszłych aktualizacji do modułu TPM lub oprogramowania układowego UEFI.

Aby włączyć bezpieczny rozruch na urządzeniu Surface z włączoną funkcją BitLocker:

1. Wstrzymywanie funkcji BitLocker przy użyciu polecenia cmdlet zgodnie z opisem Suspend-BitLocker w metodzie 1.
2. Uruchom urządzenie Surface do interfejsu UEFI przy użyciu jednej z metod zdefiniowanych w temacie Using Surface UEFI on Surface Laptop, new Surface Pro, Surface Studio, Surface Book i Surface Pro 4.
3. Wybierz sekcję Zabezpieczenia .
4. Wybierz pozycję Zmień konfigurację w obszarze Bezpieczny rozruch.
5. Wybierz pozycję Tylko>microsoft OK.
6. Wybierz pozycję Zakończ, a następnie uruchom ponownie , aby ponownie uruchomić urządzenie.
7. Wznów funkcję BitLocker przy użyciu polecenia cmdlet zgodnie z opisem Resume-BitLocker w metodzie 1.

Aby zmienić wartości PCR używane do sprawdzania poprawności szyfrowania dysków funkcją BitLocker:

1. Wyłącz wszystkie zasady grupy, które konfigurują pcR, lub usuń urządzenie z wszystkich grup, w których mają zastosowanie takie zasady. Aby uzyskać więcej informacji, zobacz "Opcje wdrażania" w temacie Dokumentacja zasad grupy funkcji BitLocker.
2. Wstrzymywanie funkcji BitLocker przy użyciu polecenia cmdlet zgodnie z opisem Suspend-BitLocker w metodzie 1.
3. Wznów funkcję BitLocker przy użyciu polecenia cmdlet zgodnie z opisem Resume-BitLocker w metodzie 1.

Metoda 3. Usuwanie funkcji ochrony z dysku rozruchowego

Jeśli zainstalowano aktualizację modułu TPM lub interfejsu UEFI, a urządzenie nie może uruchomić się, nawet po wprowadzeniu poprawnego klucza odzyskiwania funkcji BitLocker, można przywrócić możliwość rozruchu przy użyciu klucza odzyskiwania funkcji BitLocker i obrazu odzyskiwania urządzenia Surface w celu usunięcia funkcji Ochrony funkcji BitLocker z dysku rozruchowego.

Aby usunąć funkcje ochrony z dysku rozruchowego przy użyciu klucza odzyskiwania funkcji BitLocker:

1. Uzyskaj klucz odzyskiwania funkcji BitLocker z konta Microsoft lub jeśli funkcja BitLocker jest zarządzana za pomocą innych środków, takich jak administracja i monitorowanie funkcji Microsoft BitLocker (MBAM), skontaktuj się z administratorem.

2. Z innego komputera pobierz obraz odzyskiwania urządzenia Surface z sekcji Pobierz obraz odzyskiwania dla urządzenia Surface i utwórz dysk odzyskiwania USB.

3. Rozruch z dysku obrazu odzyskiwania urządzenia SURFACE USB.

4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

5. Wybierz układ klawiatury.

6. Wybierz pozycję Rozwiązywanie problemów z zaawansowanymi opcjami>>wiersza polecenia.

7. Uruchom następujące polecenia:

   manage-bde -unlock -recoverypassword <password>C:
   manage-bde -protectors -disable C:
   

   gdzie C: to dysk przypisany do dysku, a <hasło> to klucz odzyskiwania funkcji BitLocker uzyskany w kroku 1.

   Uwaga 16.

   Aby uzyskać więcej informacji na temat korzystania z tego polecenia, zobacz Zarządzanie bde: odblokowywanie.

8. Uruchom ponownie komputer.

9. Po wyświetleniu monitu wprowadź klucz odzyskiwania funkcji BitLocker uzyskany w kroku 1.

Uwaga 16.

Po wyłączeniu funkcji BitLocker z dysku rozruchowego urządzenie nie będzie już chronione przez szyfrowanie dysków funkcją BitLocker. Możesz ponownie włączyć funkcję BitLocker, wybierając pozycję Start, wpisując polecenie Zarządzaj funkcją BitLocker i naciskając Enter, aby uruchomić aplet Szyfrowanie dysków funkcją BitLocker Panel sterowania apletu i wykonując kroki szyfrowania dysku.

Metoda 4. Odzyskiwanie danych i resetowanie urządzenia za pomocą odzyskiwania urządzeń Surface Bare Metal (BMR)

Aby odzyskać dane z urządzenia Surface, jeśli nie możesz uruchomić systemu Windows:

1. Uzyskaj klucz odzyskiwania funkcji BitLocker z konta Microsoft lub jeśli funkcja BitLocker jest zarządzana za pomocą innych środków, takich jak administracja i monitorowanie funkcji Microsoft BitLocker (MBAM), skontaktuj się z administratorem.

2. Z innego komputera pobierz obraz odzyskiwania urządzenia Surface z sekcji Pobierz obraz odzyskiwania dla urządzenia Surface i utwórz dysk odzyskiwania USB.

3. Rozruch z dysku obrazu odzyskiwania urządzenia SURFACE USB.

4. Po wyświetleniu monitu wybierz język systemu operacyjnego.

5. Wybierz układ klawiatury.

6. Wybierz pozycję Rozwiązywanie problemów z zaawansowanymi opcjami>>wiersza polecenia.

7. Uruchom następujące polecenie:

   manage-bde -unlock -recoverypassword <password> C:
   

   gdzie C: to dysk przypisany do dysku, a <hasło> to klucz odzyskiwania funkcji BitLocker uzyskany w kroku 1.

8. Po odblokowaniu dysku użyj polecenia copy lub xcopy , aby skopiować dane użytkownika na inny dysk.

   Uwaga 16.

   Aby uzyskać więcej informacji na temat tych poleceń, zobacz Dokumentację wiersza polecenia systemu Windows.

Aby zresetować urządzenie przy użyciu obrazu odzyskiwania urządzenia Surface, postępuj zgodnie z instrukcjami w temacie "Jak zresetować urządzenie Surface przy użyciu dysku odzyskiwania USB" w temacie Tworzenie i używanie dysku odzyskiwania USB.