Поделиться через

Запрос ключа восстановления BitLocker после установки обновлений на устройстве Surface UEFI или встроенного ПО TPM на устройстве Surface

В этой статье приводятся обходные решения проблемы, в которой вам будет предложено получить ключ восстановления BitLocker после установки обновлений в Surface UEFI или встроенного ПО TPM на устройстве Surface.

Область применения: Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Ноутбук (1-го поколения), Surface Pro (5-го поколения), Surface Book 2 - 13 дюймов, Surface Pro с LTE Advanced, Surface Book 2 - 15 дюймов
Исходный номер базы знаний: 4057282

Внимание

В этой статье содержатся сведения о том, как снизить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести для решения конкретной проблемы. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. При реализации этого обходного решения выполните все необходимые дополнительные действия, чтобы защитить компьютер.

Симптомы

На устройстве Surface возникла одна или несколько следующих симптомов:

  • При запуске вам будет предложено ввести правильный ключ восстановления BitLocker, но Windows не запускается.
  • Вы загружаетесь непосредственно в параметры интерфейса встроенного ПО Surface Unified (UEFI).
  • Устройство Surface, как представляется, в бесконечном цикле перезагрузки.

Причина

Это поведение может произойти в следующем сценарии:

  • BitLocker включен и настроен для использования значений регистра конфигурации платформы (PCR), отличных от значений по умолчанию PCR 7 и PCR 11, например, когда:

    • Безопасная загрузка отключена.
    • Значения PCR были явно определены, например с помощью групповой политики.

  • Вы устанавливаете обновление встроенного ПО, которое обновляет встроенное ПО устройства TPM или изменяет подпись системного встроенного ПО. Например, вы устанавливаете обновление Surface dTPM (IFX).

Примечание.

Вы можете проверить значения PCR, которые используются на устройстве, выполнив следующую команду из командной строки с повышенными привилегиями:

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 — это требование для устройств, поддерживающих подключенный резервный режим (также известный как InstantGO или AlwaysOn, компьютеры Always Connected), включая устройства Surface. В таких системах, если TPM с PCR 7 и безопасной загрузкой настроены правильно, BitLocker привязывается к PCR 7 и PCR 11 по умолчанию. Дополнительные сведения см. в разделе "О реестре конфигурации платформы (PCR)" в параметрах групповой политики BitLocker.

Обходное решение

Предупреждение

Шифрование дисков BitLocker помогает защитить конфиденциальную информацию вашей организации путем шифрования данных. Это временное решение для временного отключения BitLocker может привести к риску данных. Мы не рекомендуем использовать это решение, но предоставляют эти сведения, чтобы вы могли реализовать это решение по своему усмотрению. Ответственность за использование этого обходного пути несет пользователь.

Метод 1. Приостановка BitLocker во время обновлений встроенного ПО TPM или UEFI

Этот сценарий можно избежать при установке обновлений для системного ПО или встроенного ПО доверенного платформенного модуля, временно приостанавливая BitLocker перед применением обновлений к доверенному платформенному модульу или встроенному ПО UEFI с помощью Suspend-BitLocker.

Примечание.

Обновления встроенного ПО доверенного платформенного модуля и UEFI могут потребовать нескольких перезагрузк во время установки. Поэтому приостановка BitLocker должна выполняться с помощью командлета Suspend-BitLocker и использования RebootCount параметра, чтобы указать количество перезагрузок, превышающих 2, чтобы сохранить BitLocker приостановленным во время процесса обновления встроенного ПО. Число перезагрузки 0 приостанавливает BitLocker на неопределенный срок, пока BitLocker не будет возобновлен с помощью командлета PowerShell Resume-BitLocker или другого механизма.

Чтобы приостановить установку обновлений встроенного ПО TPM или UEFI BitLocker, выполните следующие действия.

  1. Откройте сеанс PowerShell с правами администратора.

  2. Введите следующий командлет и нажмите клавишу ВВОД:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    где C: — диск, назначенный вашему диску.

  3. Установите обновления драйверов устройств Surface и встроенного ПО.

  4. После успешной установки обновлений встроенного ПО возобновите BitLocker с помощью командлета Resume-BitLocker следующим образом:

    Resume-BitLocker -MountPoint "C:"

Метод 2. Включение безопасных загрузочных и восстановления значений PCR по умолчанию

Настоятельно рекомендуется восстановить значения по умолчанию и рекомендуемую конфигурацию безопасных загрузочных и PCR-значений после приостановки BitLocker, чтобы предотвратить ввод в BitLocker Recovery при применении будущих обновлений к встроенному ПО TPM или UEFI.

Чтобы включить безопасную загрузку на устройстве Surface с включенным BitLocker, выполните приведенные действия.

  1. Приостановка BitLocker с помощью командлета, как описано в методе Suspend-BitLocker 1.
  2. Загрузите устройство Surface в UEFI с помощью одного из методов, определенных в Surface UEFI на Surface Laptop, новых Surface Pro, Surface Studio, Surface Book и Surface Pro 4.
  3. Выберите раздел "Безопасность".
  4. Выберите "Изменить конфигурацию" в разделе "Безопасная загрузка".
  5. Нажмите кнопку "Только>майкрософт"
  6. Нажмите кнопку "Выйти", а затем перезапустите, чтобы перезагрузить устройство.
  7. Возобновление BitLocker с помощью командлета, как описано в методе Resume-BitLocker 1.

Чтобы изменить значения PCR, используемые для проверки шифрования дисков BitLocker:

  1. Отключите любые групповые политики, которые настраивают PCR, или удалите устройство из любых групп, где применяются такие политики. Дополнительные сведения см. в разделе "Параметры развертывания" в справочнике по групповой политике BitLocker.
  2. Приостановка BitLocker с помощью командлета, как описано в методе Suspend-BitLocker 1.
  3. Возобновление BitLocker с помощью командлета, как описано в методе Resume-BitLocker 1.

Метод 3. Удаление предохранителей с загрузочного диска

Если вы установили обновление доверенного платформенного модуля или UEFI и устройство не удается загрузить, даже если указан правильный ключ восстановления BitLocker, можно восстановить возможность загрузки с помощью ключа восстановления BitLocker и образа восстановления Surface, чтобы удалить предохранители BitLocker с загрузочного диска.

Чтобы удалить средства защиты с загрузочного диска с помощью ключа восстановления BitLocker:

  1. Получите ключ восстановления BitLocker из учетной записи Майкрософт или если BitLocker управляется другими средствами, такими как администрирование и мониторинг Microsoft BitLocker (MBAM), обратитесь к администратору.

  2. С другого компьютера скачайте образ восстановления Surface из скачивания образа восстановления для Surface и создайте USB-накопитель восстановления.

  3. Загрузка с диска образа восстановления USB Surface.

  4. Выберите язык операционной системы при появлении запроса.

  5. Выберите раскладку клавиатуры.

  6. Выберите команду "Устранение неполадок с дополнительными>параметрами>" в командной строке.

  7. Выполните следующие команды:

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    где C: является диском, назначенным вашему диску и <паролю> , является ключом восстановления BitLocker, как показано на шаге 1.

    Примечание.

    Дополнительные сведения об использовании этой команды см. в статье Manage-bde: unlock.

  8. Перезагрузите компьютер.

  9. При появлении запроса введите ключ восстановления BitLocker, как показано на шаге 1.

Примечание.

После отключения средств защиты BitLocker на загрузочном диске устройство больше не будет защищено шифрованием дисков BitLocker. Вы можете повторно включить BitLocker, нажав кнопку "Пуск", введя "Управление BitLocker" и нажав клавишу ВВОД, чтобы запустить приложение BitLocker для шифрования диска панель управления и выполнив действия по шифрованию диска.

Метод 4. Восстановление данных и сброс устройства с помощью Surface Bare Metal Recovery (BMR)

Чтобы восстановить данные с устройства Surface, если вы не можете загрузиться в Windows:

  1. Получите ключ восстановления BitLocker из учетной записи Майкрософт или если BitLocker управляется другими средствами, такими как администрирование и мониторинг Microsoft BitLocker (MBAM), обратитесь к администратору.

  2. С другого компьютера скачайте образ восстановления Surface из скачивания образа восстановления для Surface и создайте USB-накопитель восстановления.

  3. Загрузка с диска образа восстановления USB Surface.

  4. Выберите язык операционной системы при появлении запроса.

  5. Выберите раскладку клавиатуры.

  6. Выберите команду "Устранение неполадок с дополнительными>параметрами>" в командной строке.

  7. Выполните следующую команду:

    manage-bde -unlock -recoverypassword <password> C:

    где C: является диском, назначенным вашему диску и <паролю> , является ключом восстановления BitLocker, как показано на шаге 1.

  8. После разблокировки диска используйте copy или xcopy команды для копирования данных пользователя на другой диск.

    Примечание.

    Дополнительные сведения об этих командах см. в справочнике по командной строке Windows.

Чтобы сбросить устройство с помощью образа восстановления Surface, следуйте инструкциям в статье "Как сбросить Surface с помощью USB-диска восстановления" при создании и использовании USB-накопителя восстановления.