Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano typowe problemy, które mogą uniemożliwić zachowanie funkcji BitLocker zgodnie z oczekiwaniami w przypadku odzyskania dysku lub które mogą spowodować nieoczekiwane uruchomienie odzyskiwania przez funkcję BitLocker. Artykuł zawiera również wskazówki dotyczące rozwiązywania tych problemów.
Uwaga 16.
W tym artykule "hasło odzyskiwania" odnosi się do 48-cyfrowego hasła odzyskiwania i "klucza odzyskiwania" odnosi się do 32-cyfrowego klucza odzyskiwania. Aby uzyskać więcej informacji, zobacz Funkcje ochrony kluczy funkcji BitLocker.
Aby uzyskać więcej informacji na temat szyfrowania urządzeń, zobacz Wymagania sprzętowe dotyczące automatycznego szyfrowania urządzeń za pomocą funkcji BitLocker.
System Windows monituje o hasło odzyskiwania funkcji BitLocker, które nie istnieje
System Windows wyświetla monit o hasło odzyskiwania funkcji BitLocker. Nie skonfigurowano jednak hasła odzyskiwania funkcji BitLocker.
Rozwiązywanie problemów z monitami systemu Windows o hasło odzyskiwania funkcji BitLocker
Funkcja BitLocker i usługi domena usługi Active Directory Services (AD DS) — często zadawane pytania dotyczą sytuacji, które mogą powodować ten objaw, oraz zawiera informacje o procedurze rozwiązywania problemu:
Nie utworzono kopii zapasowej hasła odzyskiwania dla laptopa, a laptop jest zablokowany
Rozważmy następujący scenariusz:
Dysk twardy laptopa z systemem Windows 11 lub Windows 10 musi zostać odzyskany. Dysk został zaszyfrowany przy użyciu szyfrowania sterowników funkcji BitLocker. Nie utworzono jednak kopii zapasowej hasła odzyskiwania funkcji BitLocker, a zwykły użytkownik laptopa nie jest dostępny do podania hasła.
Rozwiązanie problemu dotyczącego hasła odzyskiwania dla laptopa nie zostało utworzone
Możesz użyć jednej z następujących metod, aby ręcznie utworzyć kopię zapasową lub zsynchronizować istniejące informacje odzyskiwania klienta online:
Utwórz skrypt Instrumentacji zarządzania Windows (WMI), który tworzy kopię zapasową informacji. Aby uzyskać więcej informacji, zobacz Dostawca szyfrowania dysków funkcją BitLocker.
W oknie wiersza polecenia z podwyższonym poziomem uprawnień użyj polecenia manage-bde.exe , aby utworzyć kopię zapasową informacji.
Aby na przykład utworzyć kopię zapasową wszystkich informacji odzyskiwania dla dysku C: do usług AD DS, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
cmd manage-bde.exe -protectors -adbackup C:
Uwaga 16.
Funkcja BitLocker nie zarządza automatycznie tym procesem tworzenia kopii zapasowej.
Urządzenia tabletu nie obsługują używania manage-bde.exe -forcerecovery
funkcji do testowania trybu odzyskiwania
Rozważmy następujący scenariusz:
Odzyskiwanie funkcji BitLocker należy przetestować na tablecie lub urządzeniu łupka, uruchamiając następujące polecenie:
cmd manage-bde.exe -forcerecovery
Jednak po wprowadzeniu hasła odzyskiwania urządzenie nie może uruchomić.
Przyczyna braku obsługi urządzeń tabletu w manage-bde.exe -forcerecovery
celu przetestowania trybu odzyskiwania
Ważne
Urządzenia tabletu nie obsługują manage-bde.exe -forcerecovery
polecenia .
Ten problem występuje, ponieważ Menedżer rozruchu systemu Windows nie może przetworzyć danych dotykowych podczas fazy przed rozruchem podczas uruchamiania. Jeśli menedżer rozruchu wykryje, że urządzenie jest tabletem, przekierowuje proces uruchamiania do środowiska odzyskiwania systemu Windows (WinRE), które może przetwarzać dane wejściowe dotykowe.
Jeśli usługa WindowsRE wykryje ochronę modułu TPM na dysku twardym, wykonuje ponowną operację PCR. manage-bde.exe -forcerecovery
Jednak polecenie usuwa funkcje ochrony modułu TPM na dysku twardym. W związku z tym usługa WinRE nie może ponownie ściągnąć pcR. Ten błąd wyzwala nieskończony cykl odzyskiwania funkcji BitLocker i uniemożliwia uruchamianie systemu Windows.
To zachowanie jest projektowane dla wszystkich wersji systemu Windows.
Obejście problemu dla urządzeń z tabletami nie obsługuje korzystania z manage-bde.exe -forcerecovery
trybu odzyskiwania
Aby rozwiązać problem z pętlą ponownego uruchamiania, wykonaj następujące kroki:
Na ekranie Odzyskiwanie funkcji BitLocker wybierz pozycję Pomiń ten dysk.
Wybierz pozycję Rozwiązywanie problemów z zaawansowanymi opcjami>>wiersza polecenia.
W oknie wiersza polecenia uruchom następujące polecenia:
manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password> manage-bde.exe -protectors -disable C:
Zamknij okno wiersza polecenia.
Zamknij urządzenie.
Uruchom urządzenie. System Windows powinien zaczynać się jak zwykle.
Po zainstalowaniu aktualizacji oprogramowania układowego UEFI lub TPM na urządzeniu Surface funkcja BitLocker monituje o hasło odzyskiwania
Rozważmy następujący scenariusz:
Urządzenie Surface ma włączone szyfrowanie dysków funkcją BitLocker. Oprogramowanie układowe modułu TPM urządzenia Surface jest aktualizowane lub aktualizacja, która zmienia podpis oprogramowania układowego systemu. Na przykład jest zainstalowana aktualizacja modułu TPM (IFX).
Na urządzeniu Surface występuje co najmniej jeden z następujących objawów:
Podczas uruchamiania urządzenie Surface wyświetla monit o hasło odzyskiwania funkcji BitLocker. Wprowadzono poprawne hasło odzyskiwania, ale system Windows nie uruchamia się.
Uruchamianie przechodzi bezpośrednio do ustawień ujednoliconego interfejsu UEFI (UEFI) urządzenia Surface.
Urządzenie Surface wydaje się być w nieskończonej pętli ponownego uruchamiania.
Przyczyna po zainstalowaniu aktualizacji oprogramowania układowego UEFI lub TPM na urządzeniu Surface, funkcja BitLocker monituje o hasło odzyskiwania
Ten problem występuje, jeśli moduł TPM urządzenia Surface jest skonfigurowany do używania wartości rejestru konfiguracji platformy (PCR) innych niż wartości domyślne PCR 7 i PCR 11. Na przykład następujące ustawienia umożliwiają skonfigurowanie modułu TPM w następujący sposób:
- Bezpieczny rozruch jest wyłączony.
- Wartości PCR zostały jawnie zdefiniowane, na przykład przez zasady grupy.
Urządzenia obsługujące wstrzymanie połączone (znane również jako InstantGO lub Always On, zawsze podłączone komputery), w tym urządzenia Surface, muszą używać pcR 7 modułu TPM. W domyślnej konfiguracji w takich systemach funkcja BitLocker wiąże się z PCR 7 i PCR 11, jeśli pcR 7 i bezpieczny rozruch są poprawnie skonfigurowane.
Rozwiązanie problemu po zainstalowaniu aktualizacji oprogramowania układowego UEFI lub TPM na urządzeniu Surface, funkcja BitLocker monituje o hasło odzyskiwania
Aby sprawdzić wartości PCR używane na urządzeniu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
manage-bde.exe -protectors -get <OSDriveLetter>:
W tym poleceniu OSDriveLetter ><reprezentuje literę dysku systemu operacyjnego.
Aby rozwiązać ten problem i naprawić urządzenie, wykonaj następujące kroki:
Krok 1. Wyłączanie funkcji ochrony modułu TPM na dysku rozruchowym
Jeśli zainstalowano aktualizację modułu TPM lub UEFI, a urządzenie Surface nie może się uruchomić, nawet jeśli wprowadzono poprawne hasło odzyskiwania funkcji BitLocker, można przywrócić możliwość uruchomienia przy użyciu hasła odzyskiwania funkcji BitLocker i obrazu odzyskiwania urządzenia Surface w celu usunięcia funkcji ochrony modułu TPM z dysku rozruchowego.
Aby użyć hasła odzyskiwania funkcji BitLocker i obrazu odzyskiwania urządzenia Surface w celu usunięcia funkcji ochrony modułu TPM z dysku rozruchowego, wykonaj następujące kroki:
Uzyskaj hasło odzyskiwania funkcji BitLocker z konta Microsoft.com użytkownika urządzenia Surface. Jeśli funkcja BitLocker jest zarządzana przez inną metodę, taką jak Administracja i monitorowanie funkcji Microsoft BitLocker (MBAM), zarządzanie funkcją BitLocker programu Configuration Manager lub usługa Intune, skontaktuj się z administratorem, aby uzyskać pomoc.
Użyj innego komputera, aby pobrać obraz odzyskiwania urządzenia Surface z pobierania obrazu odzyskiwania urządzenia Surface. Użyj pobranego obrazu, aby utworzyć dysk odzyskiwania USB.
Włóż dysk obrazu odzyskiwania urządzenia SURFACE USB do urządzenia Surface i uruchom urządzenie.
Po wyświetleniu monitu wybierz następujące elementy:
Język systemu operacyjnego.
Układ klawiatury.
Wybierz pozycję Rozwiązywanie problemów z zaawansowanymi opcjami>>wiersza polecenia.
W oknie wiersza polecenia uruchom następujące polecenia:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>: manage-bde.exe -protectors -disable <DriveLetter>:
gdzie:
- <Hasło> to hasło odzyskiwania funkcji BitLocker, które zostało uzyskane w kroku 1
- <DriveLetter> to litera dysku przypisana do dysku systemu operacyjnego
Uwaga 16.
Aby uzyskać więcej informacji na temat korzystania z tego polecenia, zobacz manage-bde unlock.
Uruchom ponownie komputer.
Po wyświetleniu monitu wprowadź hasło odzyskiwania funkcji BitLocker uzyskane w kroku 1.
Uwaga 16.
Po wyłączeniu funkcji ochrony modułu TPM szyfrowanie dysków funkcją BitLocker nie chroni już urządzenia. Aby ponownie włączyć szyfrowanie dysków funkcją BitLocker, wybierz pozycję Start, wpisz Zarządzaj funkcją BitLocker, a następnie naciśnij Enter. Wykonaj kroki, aby zaszyfrować dysk.
Krok 2. Odzyskiwanie danych i resetowanie urządzenia Surface BMR za pomocą urządzenia Surface
Aby odzyskać dane z urządzenia Surface, jeśli system Windows nie zostanie uruchomiony, wykonaj kroki od 1 do 5 sekcji Krok 1: Wyłączanie funkcji ochrony modułu TPM na dysku rozruchowym, aby przejść do okna wiersza polecenia. Po otwarciu okna wiersza polecenia wykonaj następujące kroki:
W wierszu polecenia wpisz następujące polecenie:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:
W tym poleceniu <hasło> jest hasłem odzyskiwania funkcji BitLocker uzyskanym w kroku 1 sekcji Krok 1: Wyłączenie funkcji ochrony modułu TPM na dysku rozruchowym, a <DriveLetter> jest literą dysku przypisaną do dysku systemu operacyjnego.
Po odblokowaniu dysku użyj
copy
polecenia lubxcopy.exe
, aby skopiować dane użytkownika na inny dysk.Uwaga 16.
Aby uzyskać więcej informacji na temat tych poleceń, zobacz artykuł Polecenia systemu Windows.
Aby zresetować urządzenie przy użyciu obrazu odzyskiwania urządzenia Surface, postępuj zgodnie z instrukcjami w artykule Tworzenie i używanie dysku odzyskiwania USB dla urządzenia Surface.
Krok 3. Przywracanie domyślnych wartości PCR
Aby zapobiec cyklicznemu występowaniu tego problemu, zaleca się przywrócenie domyślnej konfiguracji bezpiecznego rozruchu i wartości PCR.
Aby włączyć bezpieczny rozruch na urządzeniu Surface, wykonaj następujące kroki:
Wstrzymaj funkcję BitLocker, otwierając okno programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchamiając następujące polecenie cmdlet programu PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
W tym poleceniu <DriveLetter> jest literą przypisaną do dysku.
Uruchom ponownie urządzenie, a następnie edytuj ustawienia interfejsu UEFI, aby ustawić opcję Bezpieczny rozruch na wartość Tylko firma Microsoft.
Uruchom ponownie urządzenie i zaloguj się do systemu Windows.
Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie cmdlet programu PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Aby zresetować ustawienia pcR w module TPM, wykonaj następujące kroki:
Wyłącz wszystkie obiekty zasad grupy, które konfigurują ustawienia PCR, lub usuń urządzenie z wszystkich grup, które wymuszają takie zasady.
Aby uzyskać więcej informacji, zobacz Ustawienia zasad grupy funkcji BitLocker.
Wstrzymaj funkcję BitLocker, otwierając okno programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchamiając następujące polecenie cmdlet programu PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
W tym poleceniu <DriveLetter> jest literą przypisaną do dysku.
Uruchom następujące polecenie cmdlet w programie PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Krok 4. Wstrzymanie funkcji BitLocker podczas aktualizacji oprogramowania układowego modułu TPM lub UEFI
Ten scenariusz można uniknąć podczas instalowania aktualizacji oprogramowania układowego systemu lub oprogramowania układowego modułu TPM przez tymczasowe zawieszenie funkcji BitLocker przed zastosowaniem takich aktualizacji.
Ważne
Aktualizacje modułu TPM i oprogramowania układowego UEFI mogą wymagać wielu ponownych uruchomień podczas instalacji. Aby funkcja BitLocker została wstrzymana podczas tego procesu, należy użyć polecenia cmdlet Suspend-BitLocker programu PowerShell, a parametr Liczba ponownych rozruchów musi być ustawiony na jedną z następujących wartości:
2 lub większe: ta wartość określa liczbę ponownych uruchomień urządzenia przed wznowienia szyfrowania urządzenia funkcją BitLocker. Na przykład ustawienie wartości na 2 spowoduje wznowienie działania funkcji BitLocker po dwukrotnym ponownym uruchomieniu urządzenia.
0: Ta wartość zawiesza szyfrowanie dysków funkcją BitLocker przez czas nieokreślony. Aby wznowić działanie funkcji BitLocker, należy użyć polecenia cmdlet programu PowerShell Resume-BitLocker lub innego mechanizmu w celu wznowienia ochrony funkcji BitLocker .
Aby wstrzymać funkcję BitLocker podczas instalowania aktualizacji oprogramowania układowego MODUŁU TPM lub UEFI:
Otwórz okno programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie cmdlet programu PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
W tym poleceniu cmdlet <programu PowerShell DriveLetter> jest literą przypisaną do dysku.
Zainstaluj aktualizacje sterownika urządzenia Surface i oprogramowania układowego.
Po zainstalowaniu aktualizacji oprogramowania układowego uruchom ponownie komputer, otwórz okno programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie cmdlet programu PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Credential Guard/Device Guard w module TPM 1.2: przy każdym ponownym uruchomieniu funkcja BitLocker monituje o hasło odzyskiwania i zwraca błąd 0xC0210000
Rozważmy następujący scenariusz:
Urządzenie korzysta z modułu TPM 1.2 i działa z systemem Windows 10 w wersji 1809. Urządzenie korzysta również z funkcji zabezpieczeń opartych na wirtualizacji, takich jak Device Guard i Credential Guard. Za każdym razem, gdy urządzenie jest uruchamiane, urządzenie przechodzi w tryb odzyskiwania funkcji BitLocker i jest wyświetlany komunikat o błędzie podobny do następującego komunikatu o błędzie:
Odzyskiwanie
Komputer/urządzenie należy naprawić. Nie można uzyskać dostępu do wymaganego pliku, ponieważ klucz funkcji BitLocker nie został poprawnie załadowany.
Kod błędu 0xc0210000
Musisz użyć narzędzi odzyskiwania. Jeśli nie masz żadnego nośnika instalacyjnego (takiego jak dysk lub urządzenie USB), skontaktuj się z administratorem komputera lub producentem komputera/urządzenia.
Przyczyna funkcji Credential Guard/Device Guard w module TPM 1.2: Przy każdym ponownym uruchomieniu funkcja BitLocker monituje o hasło odzyskiwania i zwraca błąd 0xC0210000
Moduł TPM 1.2 nie obsługuje bezpiecznego uruchamiania. Aby uzyskać więcej informacji, zobacz System Guard Secure Launch and SMM protection: Requirements met by System Guard Enabled Machines (Zabezpieczanie funkcji System Guard i ochrona za pomocą programu SMM: wymagania spełnione przez maszyny z włączoną ochroną systemu Guard)
Aby uzyskać więcej informacji na temat tej technologii, zobacz Windows Defender System Guard: How a hardware-based root of trust pomaga chronić system Windows
Rozwiązanie dla funkcji Credential Guard/Device Guard w module TPM 1.2: przy każdym ponownym uruchomieniu funkcja BitLocker monituje o hasło odzyskiwania i zwraca błąd 0xC0210000
Aby rozwiązać ten problem, użyj jednego z następujących dwóch rozwiązań:
- Usuń wszystkie urządzenia korzystające z modułu TPM 1.2 z dowolnej grupy, która podlega obiektom zasad grupy wymuszających bezpieczne uruchamianie.
- Edytuj obiekt zasad grupy Włącz obiekt zasad grupy zabezpieczeń opartych na wirtualizacji, aby ustawić opcję Konfiguracja bezpiecznego uruchamiania na Wyłączone.