Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece soluções alternativas para o problema em que você é solicitado a fornecer a chave de recuperação do BitLocker após instalar atualizações para o firmware UEFI ou TPM do Surface no dispositivo Surface.
Aplica-se a: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1.ª geração), Surface Pro (5.ª geração), Surface Book 2 - 13 polegadas, Surface Pro com LTE Advanced, Surface Book 2 - 15 polegadas
Número original do KB: 4057282
Importante
Este artigo contém informações que mostram como ajudar a reduzir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para solucionar um problema específico. Antes de fazer as alterações, é aconselhável avaliar os riscos associados à implementação desta solução alternativa no ambiente específico. Se você implementar essa solução alternativa, execute as etapas adicionais apropriadas para ajudar a proteger o computador.
Sintomas
Você encontra um ou mais dos seguintes sintomas em seu dispositivo Surface:
- Na inicialização, você será solicitado a fornecer sua chave de recuperação do BitLocker e inserirá a chave de recuperação correta, mas o Windows não será inicializado.
- Você inicializa diretamente nas configurações da UEFI (Interface de Firmware Extensível Unificada) do Surface.
- Seu dispositivo Surface parece estar em um loop de reinicialização infinito.
Causa
Esse comportamento pode ocorrer no seguinte cenário:
O BitLocker está habilitado e configurado para usar valores de PCR (Registro de Configuração de Plataforma) diferentes dos valores padrão de PCR 7 e PCR 11, por exemplo, quando:
- A Inicialização Segura está desativada.
- Os valores de PCR foram definidos explicitamente, como pela Política de Grupo.
Você instala uma atualização de firmware que atualiza o firmware do TPM do dispositivo ou altera a assinatura do firmware do sistema. Por exemplo, você instala a atualização IFX (Surface dTPM).
Observação
Você pode verificar os valores de PCR que estão em uso em um dispositivo executando o seguinte comando em um prompt de comando com privilégios elevados:
manage-bde.exe -protectors -get <OSDriveLetter>:
O PCR 7 é um requisito para dispositivos que dão suporte ao Modo de Espera Conectado (também conhecido como InstantGO ou Always On, Always Connected PCs), incluindo dispositivos Surface. Nesses sistemas, se o TPM com PCR 7 e Inicialização Segura estiver configurado corretamente, o BitLocker será associado ao PCR 7 e ao PCR 11 por padrão. Para obter mais informações, consulte "Sobre o PCR (Registro de Configuração de Plataforma)" nas configurações de política de grupo do BitLocker.
Solução alternativa
Aviso
A Criptografia de Unidade de Disco BitLocker ajuda a proteger as informações confidenciais da sua organização criptografando os dados. Essa solução alternativa para desabilitar temporariamente o BitLocker pode colocar os dados em risco. Essa solução alternativa não é recomendável, mas é fornecida para que você possa implementá-la conforme desejar. Você é responsável pelo uso dessa solução alternativa.
Método 1: Suspender o BitLocker durante atualizações de firmware TPM ou UEFI
Você pode evitar esse cenário ao instalar atualizações no firmware do sistema ou no firmware do TPM suspendendo temporariamente o BitLocker antes de aplicar atualizações ao firmware do TPM ou UEFI usando Suspend-BitLocker.
Observação
As atualizações de firmware TPM e UEFI podem exigir várias reinicializações durante a instalação. Portanto, a suspensão do BitLocker deve ser feita por meio do cmdlet Suspend-BitLocker e usando o parâmetro para especificar um número de reinicializações maior que 2 para manter o RebootCount BitLocker suspenso durante o processo de atualização do firmware. Uma contagem de reinicialização de 0 suspenderá o BitLocker indefinidamente, até que o BitLocker seja retomado por meio do cmdlet do PowerShell Resume-BitLocker ou outro mecanismo.
Para suspender o BitLocker para instalação de atualizações de firmware TPM ou UEFI:
Abra uma sessão administrativa do PowerShell.
Insira o seguinte cmdlet e pressione Enter:
Suspend-BitLocker -MountPoint "C:" -RebootCount 0onde C: é a unidade atribuída ao seu disco.
Instale as atualizações de driver e firmware do dispositivo do Surface.
Após a instalação bem-sucedida das atualizações de firmware, retome o BitLocker usando o cmdlet Resume-BitLocker da seguinte maneira:
Resume-BitLocker -MountPoint "C:"
Método 2: Ativar inicialização segura e restaurar os valores de PCR padrão
É altamente recomendável que você restaure a configuração padrão e recomendada dos valores de Inicialização Segura e PCR depois que o BitLocker for suspenso para evitar a entrada na Recuperação do BitLocker ao aplicar atualizações futuras ao firmware TPM ou UEFI.
Para habilitar a Inicialização Segura em um dispositivo Surface que tenha o BitLocker habilitado:
- Suspenda o BitLocker usando o
Suspend-BitLockercmdlet, conforme descrito no Método 1. - Inicialize seu dispositivo Surface na UEFI usando um dos métodos definidos em Usando o Surface UEFI no Surface Laptop, novo Surface Pro, Surface Studio, Surface Book e Surface Pro 4.
- Selecione a seção Segurança .
- Selecione Alterar configuração em Inicialização segura.
- Selecione Somente Microsoft OK>.
- Selecione Sair e, em seguida , Reiniciar para reinicializar o dispositivo.
- Retome o BitLocker usando o
Resume-BitLockercmdlet, conforme descrito no Método 1.
Para alterar os valores de PCR usados para validar a Criptografia de Unidade de Disco BitLocker:
- Desabilite todas as políticas de grupo que configuram o PCR ou remova o dispositivo de todos os grupos em que essas políticas se aplicam. Consulte "Opções de implantação" na Referência de Política de Grupo do BitLocker para obter mais informações.
- Suspenda o BitLocker usando o
Suspend-BitLockercmdlet, conforme descrito no Método 1. - Retome o BitLocker usando o
Resume-BitLockercmdlet, conforme descrito no Método 1.
Método 3: Remova os protetores da unidade de inicialização
Se você instalou uma atualização do TPM ou UEFI e seu dispositivo não consegue inicializar, mesmo quando a Chave de Recuperação do BitLocker correta é inserida, você pode restaurar a capacidade de inicialização usando a chave de recuperação do BitLocker e uma imagem de recuperação do Surface para remover os protetores do BitLocker da unidade de inicialização.
Para remover os protetores da unidade de inicialização usando a chave de recuperação do BitLocker:
Obtenha sua chave de recuperação do BitLocker da conta da Microsoft ou, se o BitLocker for gerenciado por outros meios, como o MBAM (Administração e Monitoramento do Microsoft BitLocker), entre em contato com o administrador.
A partir de outro computador, transfira a imagem de recuperação do Surface em Transferir uma imagem de recuperação para o Surface e crie uma unidade de recuperação USB.
Inicialize a partir da unidade de imagem de recuperação do Surface USB.
Selecione o idioma do seu sistema operacional quando solicitado.
Selecione o layout do teclado.
Selecione Solucionar problemas>do prompt de comando de opções>avançadas.
Execute os comandos a seguir:
manage-bde -unlock -recoverypassword <password>C: manage-bde -protectors -disable C:em que C: é a unidade atribuída ao disco e <a senha> é a chave de recuperação do BitLocker, conforme obtido na etapa 1.
Observação
Para obter mais informações sobre como usar esse comando, consulte Manage-bde: unlock.
Reinicialize o computador.
Quando solicitado, insira sua chave de recuperação do BitLocker conforme obtido na etapa 1.
Observação
Depois de desabilitar os protetores do BitLocker da unidade de inicialização, seu dispositivo não estará mais protegido pela Criptografia de Unidade de Disco BitLocker. Você pode reabilitar o BitLocker selecionando Iniciar, digitando Gerenciar BitLocker e pressionando Enter para iniciar o miniaplicativo do Painel de Controle de Criptografia de Unidade de Disco BitLocker e seguindo as etapas para criptografar sua unidade.
Método 4: Recupere dados e redefina seu dispositivo com a BMR (Recuperação Bare Metal) do Surface
Para recuperar dados do seu dispositivo Surface se você não conseguir inicializar no Windows:
Obtenha sua chave de recuperação do BitLocker da conta da Microsoft ou, se o BitLocker for gerenciado por outros meios, como o MBAM (Administração e Monitoramento do Microsoft BitLocker), entre em contato com o administrador.
A partir de outro computador, transfira a imagem de recuperação do Surface em Transferir uma imagem de recuperação para o Surface e crie uma unidade de recuperação USB.
Inicialize a partir da unidade de imagem de recuperação do Surface USB.
Selecione o idioma do seu sistema operacional quando solicitado.
Selecione o layout do teclado.
Selecione Solucionar problemas>do prompt de comando de opções>avançadas.
Execute o comando a seguir:
manage-bde -unlock -recoverypassword <password> C:em que C: é a unidade atribuída ao disco e <a senha> é a chave de recuperação do BitLocker, conforme obtido na etapa 1.
Depois que a unidade for desbloqueada, use
copyos comandos orxcopypara copiar os dados do usuário para outra unidade.Observação
Para obter mais informações sobre esses comandos, consulte a Referência de linha de comando do Windows.
Para repor o dispositivo utilizando uma imagem de recuperação do Surface, siga as instruções em "Como repor o Surface utilizando a unidade de recuperação USB" em Criar e utilizar uma unidade de recuperação USB.