Compartilhar via


Ecrã de recuperação pré-inicial do BitLocker

Durante a recuperação do BitLocker, o ecrã de recuperação pré-inicial é um ponto de toque crítico para os utilizadores, oferecendo uma mensagem de recuperação personalizada adaptada às necessidades da organização, um URL de recuperação direta para suporte adicional e sugestões estratégicas para ajudar os utilizadores a localizar a chave de recuperação.

Este artigo aborda os vários elementos apresentados no ecrã de recuperação pré-inicial, detalhando como as definições de política e o estado das chaves de recuperação influenciam as informações apresentadas. Quer se trate de uma mensagem personalizada ou de orientação prática, o ecrã de recuperação pré-inicial foi concebido para simplificar o processo de recuperação para os utilizadores

Ecrã de recuperação pré-inicial predefinido

Por predefinição, o ecrã de recuperação BitLocker apresenta uma mensagem genérica e o URL https://aka.ms/recoverykeyfaq.

Mensagem de recuperação personalizada

Com as definições de política do BitLocker, pode configurar uma mensagem de recuperação personalizada e um URL no ecrã de recuperação pré-inicial do BitLocker. A mensagem de recuperação personalizada e o URL podem incluir o endereço do portal de recuperação self-service bitLocker, o site interno de TI ou um número de telefone para suporte.

Definições de política bitLocker configuradas com uma mensagem de recuperação personalizada.

Definições de política bitLocker configuradas com um URL de recuperação personalizado.

Para obter mais informações sobre como configurar uma mensagem de recuperação personalizada com definições de política, veja Configurar a mensagem de recuperação pré-arranque e o URL.

Sugestões da chave de recuperação

Os metadados do BitLocker incluem informações sobre quando e onde foi guardada uma chave de recuperação BitLocker. Estas informações não são expostas através da IU ou de qualquer API pública. É utilizado apenas pelo ecrã de recuperação BitLocker sob a forma de sugestões para ajudar um utilizador a localizar a chave de recuperação de um volume. As sugestões são apresentadas no ecrã de recuperação e referem-se à localização onde a chave foi guardada. As sugestões aplicam-se ao ecrã de recuperação do gestor de arranque e ao ecrã de desbloqueio winRE.

Existem regras que regem a sugestão apresentada durante a recuperação (na ordem de processamento):

  1. Apresentar sempre uma mensagem de recuperação personalizada, se configurada através das definições de política
  2. Apresentar sempre sugestões genéricas: para obter mais informações, aceda a https://aka.ms/recoverykeyfaq
  3. Se existirem várias chaves de recuperação no volume, priorize a chave de recuperação criada pela última vez (e com êxito)
  4. Atribuir prioridades a chaves com cópia de segurança com êxito sobre chaves que nunca foram criadas cópias de segurança
  5. Dê prioridade às sugestões de cópia de segurança pela seguinte ordem para localizações de cópias de segurança remotas:
    • conta Microsoft
    • Microsoft Entra ID
    • Active Directory
  6. Se uma chave tiver sido impressa e guardada no ficheiro, apresente uma sugestão combinada Procurar uma impressão ou um ficheiro de texto com a chave, em vez de duas sugestões separadas
  7. Se foram feitas várias cópias de segurança do mesmo tipo (remover vs. local) para a mesma chave de recuperação, priorize as informações de cópia de segurança com a data da cópia de segurança mais recente
  8. Não existe nenhuma sugestão específica para chaves guardadas num Active Directory no local. Neste caso, é apresentada uma mensagem personalizada (se configurada) ou uma mensagem genérica, Contacte o suporte técnico da sua organização
  9. Se estiverem presentes duas chaves de recuperação e apenas uma tiver sido efetuada uma cópia de segurança, o sistema pede a chave de cópia de segurança, mesmo que a outra chave seja mais recente

Exemplo: palavra-passe de recuperação única guardada no ficheiro e cópia de segurança única

Neste cenário, a palavra-passe de recuperação é guardada num ficheiro

Importante

Não é recomendado imprimir chaves de recuperação ou guardá-las num ficheiro. Em vez disso, utilize a conta Microsoft, o ID do Microsoft Entra ou a cópia de segurança do Active Directory.

Exemplo: palavra-passe de recuperação única para conta Microsoft e cópia de segurança única

Neste cenário, é configurado um URL personalizado. A palavra-passe de recuperação é:

  • guardado na conta Microsoft
  • não impresso
  • não guardado num ficheiro

Resultado: são apresentadas as sugestões para o URL personalizado e a conta Microsoft (https://aka.ms/myrecoverykey).

A partir do Windows 11, versão 24H2, o ecrã de recuperação pré-inicial do BitLocker inclui a sugestão da conta Microsoft (MSA), se a palavra-passe de recuperação for guardada numa MSA. Esta sugestão ajuda o utilizador a compreender que conta MSA foi utilizada para armazenar informações da chave de recuperação.

Exemplo: palavra-passe de recuperação única no AD DS e cópia de segurança única

Neste cenário, é configurado um URL personalizado. A palavra-passe de recuperação é:

  • guardado no Active Directory
  • não impresso
  • não guardado num ficheiro

Resultado: só é apresentado o URL personalizado.

Exemplo: palavra-passe de recuperação única com várias cópias de segurança

Neste cenário, a palavra-passe de recuperação é:

  • guardado na conta Microsoft
  • guardado no Microsoft Entra ID
  • impresso
  • guardado no ficheiro

Resultado: só é apresentada a sugestão da conta Microsoft (https://aka.ms/myrecoverykey).

Exemplo: várias palavras-passe de recuperação com cópia de segurança sinlge

Neste cenário, existem duas palavras-passe de recuperação.

A palavra-passe de recuperação n.º 1 é:

  • guardado no ficheiro
  • hora de criação: 13:00
  • ID da chave: 4290B6C0-B17A-497A-8552-272CC30E80D4

A palavra-passe de recuperação n.º 2 é:

  • não é efetuada uma cópia de segurança
  • hora de criação: 15:00
  • ID da chave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Resultado: só é apresentada a sugestão para a chave de cópia de segurança com êxito, mesmo que não seja a chave mais recente.

Exemplo: múltiplas palavras-passe de recuperação com várias cópias de segurança

Neste cenário, existem duas palavras-passe de recuperação.

A palavra-passe de recuperação n.º 1 é:

  • Guardado na conta Microsoft
  • Guardado no ID do Microsoft Entra
  • hora de criação: 13:00
  • ID da chave: 4290B6C0-B17A-497A-8552-272CC30E80D4

A palavra-passe de recuperação n.º 2 é:

  • Guardado no ID do Microsoft Entra
  • hora de criação: 15:00
  • ID da chave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Resultado: é apresentada a sugestão de ID do Microsoft Entra (https://aka.ms/aadrecoverykey), que é a chave mais recente guardada.

Ecrã de informações de recuperação adicionais

A partir do Windows 11, versão 24H2, o ecrã de recuperação pré-inicial do BitLocker melhora as informações de erro de recuperação. O ecrã de recuperação fornece informações mais detalhadas sobre a natureza do erro de recuperação, o que permite aos utilizadores compreender melhor e resolver o problema.

Os utilizadores têm a opção de rever informações adicionais sobre o erro de recuperação ao premir a tecla Alt .

O ecrã Informações de recuperação adicionais contém uma categoria de erro e um código, que pode utilizar para obter mais detalhes da secção seguinte deste artigo.

As secções seguintes descrevem os códigos para cada categoria de erro bitLocker. Em cada secção existe uma tabela com a mensagem de erro apresentada no ecrã de recuperação e a causa do erro. Algumas tabelas incluem uma possível resolução.

As categorias de erro são:

Iniciado pelo utilizador

Código de erro Causa do erro Resolução
E_FVE_USER_REQUESTED_RECOVERY O utilizador entrou explicitamente no modo de recuperação a partir de um ecrã com a opção para ESC o modo de recuperação.
E_FVE_BOOT_DEBUG_ENABLED O modo de depuração de arranque está ativado. Remova a opção de depuração de arranque da base de dados de configuração de arranque.

Integridade de código

A imposição da assinatura do controlador é utilizada para garantir a integridade do código do sistema operativo.

Código de erro Causa do erro
E_FVE_CI_DISABLED A imposição da assinatura do controlador está desativada.

Bloqueio do dispositivo

A funcionalidade de limiar de bloqueio de dispositivos permite que um administrador configure o início de sessão do Windows com a proteção BitLocker. Após o número configurado de tentativas de início de sessão do Windows falhadas, o dispositivo é reiniciado e só pode ser recuperado ao fornecer um método de recuperação BitLocker.

Para tirar partido desta funcionalidade, tem de configurar a definição de política Início de sessão interativo: limiar de bloqueio da conta do computador localizado em Configuração> do ComputadorDefiniçõesde Segurança Definições >de Segurança Opções> de SegurançaPolíticas Locais Opções> deSegurança. Em alternativa, utilize a definição de política Exchange ActiveSyncMaxFailedPasswordAttempts ou o Fornecedor de Serviços de Configuração (CSP) DeviceLock.

Código de erro Causa do erro Resolução
E_FVE_DEVICE_LOCKEDOUT O bloqueio do dispositivo foi acionado devido a demasiadas tentativas de início de sessão incorretas. É necessário um método de recuperação BitLocker para regressar ao ecrã de início de sessão.
E_FVE_DEVICE_LOCKOUT_MISMATCH O contador de bloqueio do dispositivo está dessincronizado. É necessário um método de recuperação BitLocker para regressar ao ecrã de início de sessão.

Configuração da inicialização

A Base de Dados de Configuração de Arranque (BCD) contém informações críticas para o ambiente de arranque do Windows.

Código de erro Causa do erro Resolução
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
O BitLocker entrou no modo de recuperação porque uma aplicação de arranque foi alterada.
O BitLocker monitoriza os dados dentro do BCD e a recuperação do BitLocker pode ocorrer quando estes dados são alterados sem aviso prévio.

Veja o ecrã de recuperação para encontrar a aplicação de arranque que mudou.
Para remediar este problema, restaure a configuração do BCD. É necessário um método de recuperação BitLocker para desbloquear o dispositivo se a configuração BCD não puder ser restaurada antes do arranque.

Para obter mais informações, veja Definições de Dados de Configuração de Arranque e BitLocker.

TPM

O Trusted Platform Module (TPM) é hardware criptográfico ou firmware utilizado para proteger um dispositivo. O BitLocker cria um protetor TPM para gerir a proteção das chaves de encriptação utilizadas para encriptar os seus dados.

No arranque, o BitLocker tenta comunicar com o TPM para desbloquear o dispositivo e aceder aos seus dados.

Código de erro Causa do erro
E_FVE_TPM_DISABLED Está presente um TPM, mas está desativado para utilização antes ou durante o arranque.
E_FVE_TPM_INVALIDATED Um TPM está presente, mas é invalidado.
E_FVE_BAD_SRK A Chave de Raiz de Armazenamento interna do TPM está danificada.
E_FVE_TPM_NOT_DETECTED O sistema de arranque não tem ou não deteta um TPM.
E_MATCHING_PCRS_TPM_FAILURE O TPM falhou inesperadamente ao anular a linha da chave de encriptação.
E_FVE_TPM_FAILURE Veja tudo para outros erros do TPM.

Para obter mais informações, veja Trusted Platform Module Technology Overview (Descrição Geral da Tecnologia de Módulos de Plataforma Fidedigna ) e BitLocker e TPM.

Protetor

Protetores TPM

O TPM contém vários Registos de Configuração da Plataforma (PCRs) que podem ser utilizados no perfil de validação do protetor TPM do BitLocker. Os PCRs são utilizados para validar a integridade do processo de arranque, ou seja, que a configuração de arranque e o fluxo de arranque não foram adulterados.

A recuperação do BitLocker pode ser o resultado de alterações inesperadas nos PCRs utilizados no perfil de validação do protetor TPM. As alterações aos PCRs não utilizadas no perfil de protetor TPM não influenciam o BitLocker.

Código de erro Causa do erro Resolução
E_FVE_PCR_MISMATCH A configuração do dispositivo foi alterada.

As causas possíveis incluem:
- É inserido um suporte de dados de arranque. Removê-lo e reiniciar o dispositivo pode corrigir este problema
- Foi aplicada uma atualização de firmware sem atualizar o protetor TPM
É necessário um método de recuperação para desbloquear o dispositivo.

Para obter mais exemplos, veja Cenários de recuperação bitLocker.

Casos especiais para PCR 7

Se o protetor TPM utilizar PCR 7 no perfil de validação, o BitLocker espera que o PCR 7 meça um conjunto específico de eventos para o Arranque Seguro. Estas medidas são definidas na especificação UEFI. Para obter mais informações, veja Raiz Estática das Medições de Confiança

Código de erro Causa do erro Resolução
E_FVE_SECUREBOOT_DISABLED O Arranque Seguro foi desativado. Para aceder à chave de encriptação e desbloquear o dispositivo, o BitLocker espera que o Arranque Seguro esteja ativado. Reativar o Arranque Seguro e reiniciar o sistema pode corrigir o problema de recuperação. Caso contrário, é necessário um método de recuperação para aceder ao dispositivo.
E_FVE_SECUREBOOT_CHANGED A configuração de Arranque Seguro foi alterada inesperadamente. A configuração de arranque medida no PCR 7 foi alterada.
Isto pode dever-se a:
- Uma medição adicional atualmente presente que não estava presente quando o BitLocker atualizou o protetor TPM
- Uma medição em falta que estava presente quando o BitLocker atualizou pela última vez o protetor TPM, mas que agora não está presente
- Um evento esperado tem uma medição diferente
É necessário um método de recuperação para desbloquear o dispositivo.

Desconhecido

Código de erro Causa do erro Resolução
E_FVE_RECOVERY_ERROR_UNKNOWN O BitLocker entrou no modo de recuperação devido a um erro desconhecido. É necessário um método de recuperação para desbloquear o dispositivo.