恢复 BitLocker 加密的驱动器
启用 BitLocker 的计算机启动时,BitLocker 会检查作系统中可能存在安全风险的条件。 如果 BitLocker 检测到这种情况,它不会解锁系统驱动器,而是进入恢复模式。 当计算机进入恢复模式时,用户必须输入正确的恢复密码才能继续。 恢复密码链接到特定的 TPM 或计算机,而不是链接到单个用户。 恢复密码通常不会更改。
应使用以下格式之一在 U 盘或 AD DS 中保存恢复信息:
- 一个 48 位数字,分为八组。 在恢复期间,使用功能键在 BitLocker 恢复控制台中键入此密码。
- BitLocker 恢复控制台可以直接读取的格式的恢复密钥。
可能进行恢复的方案
在很多情况下,可能需要进行 BitLocker 恢复,包括:
- 将计算机的加密硬盘驱动器切换到另一台计算机。
- 使 BitLocker 加密的驱动器从属于另一台计算机,以恢复其数据。
- 在加密过程中关闭计算机。
- 更新计算机的固件。
- 更改计算机 BIOS 中的设备启动顺序。
查找 BitLocker 恢复密码
BitLocker 恢复密码是一个 48 位密码,用于在恢复模式下解锁系统。 恢复密码对于特定的 BitLocker 加密是唯一的,你可以将其存储在 AD DS 中。 如果将加密驱动器移到另一台计算机,或者对系统启动信息进行了更改,则需要恢复密码。
注意
此密码非常重要。 我们建议你创建密码的其他副本,然后将其存储在安全的位置,以确保访问你的数据。 Microsoft对丢失的密钥没有任何访问权限或解决方法。
如果 BitLocker 进入锁定状态,则需要恢复密码才能解锁卷上的加密数据。 恢复密码对于特定的 BitLocker 加密是唯一的,不能使用它从任何其他 BitLocker 加密会话中恢复加密数据。
计算机的密码 ID 是计算机名称唯一的 32 个字符的密码。 可以在计算机的属性设置下找到密码 ID,该设置可用于查找存储在 AD DS 中的密码。 若要查找密码,必须满足以下条件:
- 你必须是域管理员或具有委托权限。
- 客户端的 BitLocker 恢复信息配置为在 AD DS 中存储。
- 客户端计算机已加入域。
- 必须在客户端的计算机上启用 BitLocker。
在搜索并向用户提供 BitLocker 恢复密码之前,请确认该用户是帐户所有者,并且有权访问有关计算机上的数据。
使用以下方法之一在 Active Directory 用户和计算机 中搜索密码:
- 驱动器标签
- 密码 ID
按驱动器标签搜索时,找到计算机后,右键单击 驱动器标签,选择 “属性”,然后选择“ BitLocker 恢复 ”选项卡以查看关联的密码。
若要按密码 ID 进行搜索,请右键单击 域容器,然后选择“ 查找 BitLocker 恢复密码”。 在“查找 BitLocker 恢复密码”对话框中,在“密码 ID”字段中输入密码 ID 的前 8 个字符,然后选择“ 搜索”。
检查返回的恢复密码,确保它与用户提供的密码 ID 匹配。 执行此步骤有助于验证是否已获取正确的唯一恢复密码。
数据恢复代理支持
BitLocker for Windows 为所有受保护的卷提供数据恢复代理支持。 这样,用户就能够在无法访问数据时从任何 BitLocker 和 BitLocker To Go 设备恢复数据。 此技术有助于使用企业创建的密钥在便携式驱动器上恢复公司数据。
数据恢复代理支持允许你指定所有受 BitLocker 保护的卷 ((例如作系统、固定卷和) 的新可移植卷)都使用适当的数据恢复代理进行加密。 数据恢复代理是写入每个数据卷的新密钥保护程序,以便授权的 IT 管理员始终有权访问受 BitLocker 保护的卷。