BitLocker kurtarma: bilinen sorunlar

Bu makalede, bir sürücü kurtarıldığında BitLocker'ın beklendiği gibi davranmasını engelleyebilecek veya BitLocker'ın beklenmedik bir şekilde kurtarmayı başlatmasına neden olabilecek yaygın sorunlar açıklanmaktadır. Makale ayrıca bu sorunları gidermek için rehberlik sağlar.

Not

Bu makalede "kurtarma parolası", 48 basamaklı kurtarma parolasını, "kurtarma anahtarı" ise 32 basamaklı kurtarma anahtarını ifade eder. Daha fazla bilgi için bkz . BitLocker anahtar koruyucuları.

Cihaz şifrelemesi hakkında daha fazla bilgi için bkz . BitLocker otomatik cihaz şifreleme donanım gereksinimleri.

Windows var olmayan bir BitLocker kurtarma parolası ister

Windows bir BitLocker kurtarma parolası ister. Ancak, BitLocker kurtarma parolası yapılandırılmadı.

Windows için çözüm, var olmayan bir BitLocker kurtarma parolası istemleri

BitLocker ve Active Directory Etki Alanı Hizmetleri (AD DS) SSS, bu belirtiyi ortaya çıkarabilecek durumları ele almakta ve sorunu çözmek için yordam hakkında bilgi sağlamaktadır:

• Bilgisayar etki alanına katılmadan önce bir bilgisayarda BitLocker etkinleştirilirse ne olur?

• Yedekleme başlangıçta başarısız olursa ne olur? BitLocker yeniden deneyecek mi?

Dizüstü bilgisayarın kurtarma parolası yedeklenmedi ve dizüstü bilgisayar kilitlendi

Aşağıdaki senaryoyu değerlendirin:

Windows 11 veya Windows 10 dizüstü bilgisayarın sabit diskinin kurtarılması gerekir. Disk, BitLocker Sürücü Şifrelemesi kullanılarak şifrelendi. Ancak BitLocker kurtarma parolası yedeklenmedi ve dizüstü bilgisayarın her zamanki kullanıcısı parolayı sağlayamaz.

Dizüstü bilgisayarın kurtarma parolası için çözüm yedeklenmedi

Çevrimiçi istemcinin mevcut kurtarma bilgilerini el ile yedeklemek veya eşitlemek için aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Bilgileri yedekleyen bir Windows Yönetim Araçları (WMI) betiği oluşturun. Daha fazla bilgi için bkz . BitLocker Sürücü Şifreleme Sağlayıcısı.

• Yükseltilmiş komut istemi penceresinde, bilgileri yedeklemek için manage-bde.exe komutunu kullanın.

  Örneğin, C: sürücüsünün tüm kurtarma bilgilerini AD DS'ye yedeklemek için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

  cmd manage-bde.exe -protectors -adbackup C:

---

Not

BitLocker bu yedekleme işlemini otomatik olarak yönetmez.

Tablet cihazları kurtarma modunu test etmek için kullanmayı manage-bde.exe -forcerecovery desteklemez

Aşağıdaki senaryoyu değerlendirin:

BitLocker kurtarma işleminin aşağıdaki komutu çalıştırarak bir tablet veya tablet cihazında test edilmesi gerekir:

cmd manage-bde.exe -forcerecovery

---

Ancak, kurtarma parolasını girdikten sonra cihaz başlatılamıyor.

Tablet cihazlarının kurtarma modunu test etmek için kullanmayı manage-bde.exe -forcerecovery desteklemeyen nedeni

Önemli

Tablet cihazları komutu desteklemez manage-bde.exe -forcerecovery .

Bu sorun, Windows Önyükleme Yöneticisi başlatmanın önyükleme öncesi aşamasında dokunmatik girişi işleyemediğinden oluşur. Önyükleme Yöneticisi cihazın bir tablet olduğunu algılarsa, başlangıç işlemini dokunmatik girişi işleyebilen Windows Kurtarma Ortamı'na (WinRE) yönlendirir.

WindowsRE sabit diskte TPM koruyucusu algılarsa PCR yeniden koruması yapar. Ancak komut, manage-bde.exe -forcerecovery sabit disk üzerindeki TPM koruyucularını siler. Bu nedenle WinRE, PCR'leri yeniden korumasız bırakamaz. Bu hata sonsuz bir BitLocker kurtarma döngüsünü tetikler ve Windows'un başlatılmasını engeller.

Bu davranış, Windows'un tüm sürümleri için tasarım gereğidir.

Tablet cihazları için geçici çözüm, kurtarma modunu test etmek için kullanmayı manage-bde.exe -forcerecovery desteklemez

Yeniden başlatma döngüsünü çözmek için şu adımları izleyin:

1. BitLocker Kurtarma ekranında Bu sürücüyü atla'yı seçin.

2. Gelişmiş Seçenekler>Komut İstemi Sorunlarını Giderme'yi> seçin.

3. Komut İstemi penceresinde aşağıdaki komutları çalıştırın:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Komut İstemi penceresini kapatın.

5. Cihazı kapatın.

6. Cihazı başlatın. Windows her zamanki gibi başlamalıdır.

Surface'a UEFI veya TPM üretici yazılımı güncelleştirmelerini yükledikten sonra BitLocker kurtarma parolasını ister

Aşağıdaki senaryoyu değerlendirin:

Surface cihazında BitLocker sürücü şifrelemesi açık. Surface TPM'sinin üretici yazılımı güncelleştirilir veya sistem üretici yazılımının imzasını değiştiren bir güncelleştirme yüklenir. Örneğin, Surface TPM (IFX) güncelleştirmesi yüklenir.

Surface cihazında aşağıdaki belirtilerden biri veya daha fazlası ile karşılaşırsınız:

• Başlangıçta Surface cihazı bir BitLocker kurtarma parolası ister. Doğru kurtarma parolası girildi, ancak Windows başlatılmıyor.

• Başlangıç doğrudan Surface cihazının Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) ayarlarına ilerler.

• Surface cihazı sonsuz bir yeniden başlatma döngüsünde görünüyor.

Surface'a UEFI veya TPM üretici yazılımı güncelleştirmelerini yükledikten sonra BitLocker kurtarma parolasını ister

Bu sorun, Surface cihazı TPM'sinin PCR 7 ve PCR 11'in varsayılan değerleri dışındaki Platform Yapılandırma Kaydı (PCR) değerlerini kullanacak şekilde yapılandırılması durumunda oluşur. Örneğin, aşağıdaki ayarlar TPM'yi bu şekilde yapılandırabilir:

• Güvenli önyükleme kapalı.
• PCR değerleri, grup ilkesi gibi açıkça tanımlanmıştır.

Surface cihazları da dahil olmak üzere Bağlı Bekleme (InstantGO veya Always On, Always Connected bilgisayarlar olarak da bilinir) destekleyen cihazların TPM'nin PCR 7'sini kullanması gerekir. Bu tür sistemlerdeki varsayılan yapılandırmasında, PCR 7 ve Güvenli Önyükleme doğru yapılandırıldıysa BitLocker PCR 7 ve PCR 11'e bağlanır.

Surface'a UEFI veya TPM üretici yazılımı güncelleştirmelerini yükledikten sonra BitLocker kurtarma parolasını sorar

Bir cihazda kullanımda olan PCR değerlerini doğrulamak için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

manage-bde.exe -protectors -get <OSDriveLetter>:

Bu komutta, <OSDriveLetter> işletim sistemi sürücüsünün sürücü harfini temsil eder.

Bu sorunu çözmek ve cihazı onarmak için şu adımları izleyin:

1. Adım: Önyükleme sürücüsünde TPM koruyucularını devre dışı bırakma

Doğru BitLocker kurtarma parolası girilmiş olsa bile bir TPM veya UEFI güncelleştirmesi yüklenmişse ve Surface cihazı başlatılamıyorsa, başlatma özelliği BitLocker kurtarma parolası ve bir Surface kurtarma görüntüsü kullanılarak geri yüklenebilir ve TPM koruyucuları önyükleme sürücüsünden kaldırılır.

Tpm koruyucularını önyükleme sürücüsünden kaldırmak için BitLocker kurtarma parolasını ve Surface kurtarma görüntüsünü kullanmak için şu adımları izleyin:

1. Surface kullanıcısının Microsoft.com hesabından BitLocker kurtarma parolasını alın. BitLocker, Microsoft BitLocker Yönetimi ve İzleme (MBAM), Configuration Manager BitLocker Yönetimi veya Intune gibi farklı bir yöntemle yönetiliyorsa, yardım için yöneticiye başvurun.

2. Surface Recovery Görüntüsü İndirme'den Surface kurtarma görüntüsünü indirmek için başka bir bilgisayar kullanın. İndirilen görüntüyü kullanarak bir USB kurtarma sürücüsü oluşturun.

3. USB Surface kurtarma görüntü sürücüsünü Surface cihazına takın ve cihazı başlatın.

4. İstendiğinde aşağıdaki öğeleri seçin:

   1. İşletim sistemi dili.

   2. Klavye düzeni.

5. Gelişmiş Seçenekler>Komut İstemi Sorunlarını Giderme'yi> seçin.

6. Komut İstemi penceresinde aşağıdaki komutları çalıştırın:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   konumu:

   • <Parola> , 1. Adımda elde edilen BitLocker kurtarma parolasıdır
   • <DriveLetter> , işletim sistemi sürücüsüne atanan sürücü harfidir

   Not

   Bu komutu kullanma hakkında daha fazla bilgi için bkz . manage-bde unlock.

7. Bilgisayarı yeniden başlatın.

8. İstendiğinde, 1. Adımda elde edilen BitLocker kurtarma parolasını girin.

Not

TPM koruyucuları devre dışı bırakıldıktan sonra BitLocker sürücü şifrelemesi artık cihazı korumaz. BitLocker sürücü şifrelemesini yeniden etkinleştirmek için Başlat'ı seçin, BitLocker'ı Yönet yazın ve Enter tuşuna basın. Sürücüyü şifrelemek için adımları izleyin.

2. Adım: Verileri kurtarmak ve Surface cihazını sıfırlamak için Surface BMR kullanma

Windows başlatılmazsa Surface cihazından veri kurtarmak için, Komut İstemi penceresine ulaşmak için 1. Adım: Önyükleme sürücüsünde TPM koruyucularını devre dışı bırakma bölümünün 1 ile 5 arası adımlarını izleyin. Komut İstemi penceresi açıldıktan sonra şu adımları izleyin:

1. Komut isteminde aşağıdaki komutu çalıştırın:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   Bu komutta, Parola>,< 1. Adım: Önyükleme sürücüsünde TPM koruyucularını devre dışı bırakma bölümünün 1. Adımında elde edilen BitLocker kurtarma parolasıdır ve <DriveLetter>, işletim sistemi sürücüsüne atanan sürücü harfidir.

2. Sürücü kilidini açtıktan sonra veya xcopy.exe komutunu kullanarak copy kullanıcı verilerini başka bir sürücüye kopyalayın.

   Not

   Bu komutlar hakkında daha fazla bilgi için Windows komutları makalesine bakın.

3. Surface kurtarma görüntüsü kullanarak cihazı sıfırlamak için Surface için USB kurtarma sürücüsü oluşturma ve kullanma makalesindeki yönergeleri izleyin.

3. Adım: Varsayılan PCR değerlerini geri yükleme

Bu sorunun yinelenmesini önlemek için, Güvenli Önyükleme ve PCR değerlerinin varsayılan yapılandırmasını geri yüklemeniz önerilir.

Surface cihazında Güvenli Önyükleme'yi etkinleştirmek için şu adımları izleyin:

1. Yükseltilmiş bir Windows PowerShell penceresi açıp aşağıdaki PowerShell cmdlet'ini çalıştırarak BitLocker'ı askıya alın:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Bu komutta DriveLetter>, <sürücüye atanan harftir.

2. Cihazı yeniden başlatın ve ardından UEFI ayarlarını düzenleyerek Güvenli Önyükleme seçeneğini Yalnızca Microsoft olarak ayarlayın.

3. Cihazı yeniden başlatın ve Windows'ta oturum açın.

4. Yükseltilmiş bir PowerShell penceresi açın ve aşağıdaki PowerShell cmdlet'ini çalıştırın:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM'de PCR ayarlarını sıfırlamak için şu adımları izleyin:

1. PCR ayarlarını yapılandıran tüm Grup İlkesi Nesnelerini devre dışı bırakın veya cihazı bu ilkeleri uygulayan gruplardan kaldırın.

   Daha fazla bilgi için bkz . BitLocker Grup İlkesi ayarları.

2. Yükseltilmiş bir Windows PowerShell penceresi açıp aşağıdaki PowerShell cmdlet'ini çalıştırarak BitLocker'ı askıya alın:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Bu komutta DriveLetter>, <sürücüye atanan harftir.

3. Aşağıdaki PowerShell cmdlet'ini çalıştırın:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

4. Adım: TPM veya UEFI üretici yazılımı güncelleştirmeleri sırasında BitLocker'ı askıya alma

Bu tür güncelleştirmeleri uygulamadan önce BitLocker'ı geçici olarak askıya alarak sistem üretici yazılımına veya TPM üretici yazılımına güncelleştirme yüklerken bu senaryodan kaçınabilirsiniz.

Önemli

TPM ve UEFI üretici yazılımı güncelleştirmeleri yüklenirken birden çok yeniden başlatma gerektirebilir. Bu işlem sırasında BitLocker'ın askıya alınmasını sağlamak için Askıya Alma-BitLocker PowerShell cmdlet'i kullanılmalıdır ve Yeniden Başlatma Sayısı parametresi aşağıdaki değerlerden biri olarak ayarlanmalıdır:

• 2 veya daha büyük: Bu değer, BitLocker Cihaz Şifrelemesi devam etmeden önce cihazın kaç kez yeniden başlatılacağını ayarlar. Örneğin, değerin 2 olarak ayarlanması, cihaz iki kez yeniden başlatıldıktan sonra BitLocker'ın devam etmesini sağlar.

• 0: Bu değer BitLocker Sürücü Şifrelemesi'ne süresiz olarak askıya alır. BitLocker'ı sürdürmek için, BitLocker korumasını sürdürmek için Resume-BitLocker PowerShell cmdlet'inin veya başka bir mekanizmanın kullanılması gerekir.

TPM veya UEFI üretici yazılımı güncelleştirmelerini yüklerken BitLocker'ı askıya almak için:

1. Yükseltilmiş bir Windows PowerShell penceresi açın ve aşağıdaki PowerShell cmdlet'ini çalıştırın:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   Bu PowerShell cmdlet'inde DriveLetter>, <sürücüye atanan harftir.

2. Surface cihaz sürücüsünü ve üretici yazılımı güncelleştirmelerini yükleyin.

3. Üretici yazılımı güncelleştirmelerini yükledikten sonra bilgisayarı yeniden başlatın, yükseltilmiş bir PowerShell penceresi açın ve aşağıdaki PowerShell cmdlet'ini çalıştırın:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM 1.2'de Credential Guard/Device Guard: Her yeniden başlatmada BitLocker kurtarma parolasını sorar ve hata 0xC0210000

Aşağıdaki senaryoyu değerlendirin:

Cihaz TPM 1.2 kullanır ve Windows 10, sürüm 1809 çalıştırır. Cihaz ayrıca Device Guard ve Credential Guard gibi Sanallaştırma tabanlı Güvenlik özelliklerini de kullanır. Cihaz her başlatıldığında, cihaz BitLocker Kurtarma moduna girer ve aşağıdaki hata iletisine benzer bir hata iletisi görüntülenir:

Kurtarma

Bilgisayarınızın/Cihazınızın onarılması gerekir. BitLocker anahtarınız doğru yüklenmediğinden gerekli bir dosyaya erişilemedi.

Hata kodu 0xc0210000

Kurtarma araçlarını kullanmanız gerekir. Herhangi bir yükleme medyanız yoksa (disk veya USB cihazı gibi), bilgisayar yöneticinize veya bilgisayar/Cihaz üreticinize başvurun.

TPM 1.2'de Credential Guard/Device Guard nedeni: BitLocker her yeniden başlatmada kurtarma parolasını sorar ve hata 0xC0210000

TPM 1.2 Güvenli Başlatmayı desteklemez. Daha fazla bilgi için bkz . System Guard Güvenli Başlatma ve SMM koruması: System Guard Özellikli Makineler Tarafından Karşıılan Gereksinimler

Bu teknoloji hakkında daha fazla bilgi için bkz . Windows Defender System Guard: Donanım tabanlı bir güven kökü Windows'un korunmasına nasıl yardımcı olur?

TPM 1.2'de Credential Guard/Device Guard çözümü: Her yeniden başlatmada BitLocker kurtarma parolasını sorar ve hata 0xC0210000

Bu sorunu çözmek için aşağıdaki iki çözümden birini kullanın:

• Güvenli başlatmayı zorunlu kılan GPO'lara tabi olan herhangi bir gruptan TPM 1.2 kullanan tüm cihazları kaldırın.
• Güvenli Başlatma Yapılandırması'nı Devre Dışı olarak ayarlamak için Sanallaştırma Tabanlı Güvenlik GPO'sunu Aç'ı düzenleyin.