BitLocker 復原是如果磁碟驅動器未使用其預設解除鎖定機制解除鎖定,則可以還原受 BitLocker 保護磁碟驅動器存取的程式。
本文說明觸發 BitLocker 復原的案例、如何設定裝置以儲存復原資訊,以及還原鎖定磁碟驅動器存取權的選項。
BitLocker 復原案例
下列清單提供導致裝置在啟動 Windows 時進入 BitLocker 復原模式的常見事件範例:
輸入錯誤的 PIN 碼太多次
如果使用 USB 型金鑰而不是 TPM,則關閉從 BIOS 或 UEFI 韌體讀取開機前環境中 USB 裝置的支援
在 BIOS 開機順序中,將 CD 或 DVD 光碟機放在硬碟之前 (虛擬機器)
從 CD/DVD 或掛載的 ISO 升級 Windows
停駐或取消停駐可攜式電腦
磁碟上 NTFS 分割區表的變更
開機管理器的更改
使用 PXE 開機
關閉、停用、停用或清除 TPM
TPM 自我測試失敗
將主機板升級到具有新 TPM 的新主機板
升級關鍵的早期啟動元件,例如 BIOS 或 UEFI 韌體升級
從作業系統隱藏 TPM
修改 TPM 驗證配置檔所使用的平臺組態暫存器 (PCR)
將受 BitLocker 保護的磁碟驅動器移至新電腦
在具有 TPM 1.2 的裝置上,變更 BIOS 或韌體開機裝置順序
超過允許的登入嘗試失敗次數上限
注意
若要利用這項功能,您必須設定原則設定互動式登入:電腦帳戶鎖定閾值,位於 [電腦設定>][視窗設定>] [安全性設定>] [本機原則] [>安全性選項]。 或者,使用 Exchange ActiveSyncMaxFailedPasswordAttempts 原則設定,或 DeviceLock 設定服務提供者 (CSP) 。
在 BitLocker 復原程式中,建議判斷導致裝置進入復原模式的原因。 根本原因分析可能有助於防止問題在未來再次發生。 例如,如果您確定攻擊者透過取得實體存取權限來修改設備,您可以實施新的安全策略來追蹤誰擁有實體狀態。
針對計劃的案例,例如已知的硬體或韌體升級,可以藉由暫時暫停 BitLocker 保護來避免起始復原。 暫停 BitLocker 會讓磁碟驅動器完全加密,系統管理員可以在計劃工作完成後快速恢復 BitLocker 保護。 使用 暫停 和 繼續 也會重新密封加密金鑰,而不需要輸入復原金鑰。
注意
如果暫停,除非使用 PowerShell 或 manage-bde.exe 命令列工具指定重新啟動計數,否則 BitLocker 會在裝置重新啟動時自動回復保護。 如需暫停 BitLocker 的詳細資訊,請檢閱 BitLocker 作業指南。
提示
恢復是在計劃外或不希望的行為的上下文中描述的。 不過,回復也可以作為預期的生產實務範例引起,例如,為了管理存取控制。 當裝置重新部署至組織中的其他部門或員工時,BitLocker 可能會在將裝置傳遞給新使用者之前強制復原。
Windows RE 和 BitLocker 復原
Windows 復原環境 (Windows RE) 可用來復原受 BitLocker 保護的磁碟驅動器的存取權。 如果裝置在兩次失敗後無法開機,啟動 修復 會自動啟動。
當啟動修復因開機失敗而自動啟動時,它只會執行作業系統和驅動程式檔案修復,前提是開機記錄或任何可用的損毀傾印指向特定的損毀檔案。 在支援 PCR 特定 TPM 測量的裝置上 [7],TPM 會驗證 Windows RE 是受信任的作業環境,並在尚未修改 Windows RE 時解除鎖定任何受 BitLocker 保護的磁碟驅動器。 如果已修改 Windows RE 環境,例如停用 TPM,磁碟驅動器會保持鎖定狀態,直到提供 BitLocker 修復金鑰為止。 如果啟動修復無法自動執行,而是從修復磁碟手動啟動 Windows RE,則必須提供 BitLocker 修復金鑰才能解除鎖定受 BitLocker 保護的磁碟驅動器。
當您在使用 Windows RE 的 TPM + PIN 或密碼 OS 磁碟機保護程式的裝置上啟動從 Windows RE 移除所有專案重設時,Windows RE 也會要求您提供 BitLocker 修復金鑰。 如果您在具有僅限 TPM 保護的無鍵盤裝置上啟動 BitLocker 復原,則 Windows RE (而不是開機管理員) 會要求 BitLocker 復原金鑰。 輸入金鑰後,您可以存取 Windows RE 故障排除工具或正常啟動 Windows。
Windows RE 顯示的 BitLocker 修復畫面具有輔助工具,例如講述人和螢幕鍵盤,可協助您輸入 BitLocker 修復金鑰:
- 若要在 Windows RE 中啟用 BitLocker 復原期間啟動朗讀程式,請按 WIN + CTRL + Enter
- 若要啟動螢幕鍵盤,請點選文字輸入控制項
如果 Windows 開機管理員要求 BitLocker 修復金鑰,則這些工具可能無法使用。
BitLocker 復原選項
在復原案例中,下列選項可能可用來還原磁碟驅動器的存取權,視套用至裝置的原則設定而定:
- 恢復密碼:一個 48 位數字,用於在卷宗處於恢復模式時解鎖。 修復密碼可能會儲存為文字檔、列印或儲存在 Microsoft Entra ID 或 Active Directory 中。 使用者可以提供修復密碼 (如果有的話)
-
復原金鑰:儲存在卸除式媒體上的加密金鑰,可用來復原 BitLocker 磁碟區上加密的資料。 檔案名稱的格式
<protector_id>.bek為 。 針對 OS 磁碟驅動器,如果 BitLocker 偵測到防止裝置在啟動時解除鎖定磁碟驅動器的狀況,則可以使用修復金鑰來存取裝置。 如果由於某種原因忘記密碼或裝置無法存取磁碟驅動器,則復原金鑰也可用於存取使用 BitLocker 加密的固定資料磁碟機和卸除式磁碟機
- 金鑰套件:可與 BitLocker 修復工具搭配使用的解密金鑰,以重建磁碟驅動器的重要部分,並挽救可復原的資料。 使用金鑰套件和 修復密碼 或 修復金鑰,可以解密損毀受 BitLocker 保護磁碟驅動器的部分。 每個金鑰套件僅適用於具有對應磁碟機識別碼的磁碟機。 金鑰套件不會自動產生,而且可以儲存在檔案或 Active Directory 網域服務中。 金鑰套件無法儲存在 Microsoft Entra ID 中
- 資料復原代理程式憑證:資料復原代理程式 (DRA) 是一種與 Active Directory 安全性主體相關聯的憑證類型,可用來存取任何設定有相符公開金鑰的 BitLocker 加密磁碟機。 DRA 可以使用其憑據來解鎖驅動器。 如果磁碟機是作業系統磁碟機,則必須將磁碟機掛載為資料磁碟機掛載在另一台裝置上,DRA 才能將其解除鎖定
提示
恢復密碼和恢復密鑰都可以由用戶在數據和抽取式驅動器的控制台小程序 () 或在開機前恢復屏幕中提供。 建議您設定原則設定以自定義開機前復原畫面,例如新增自定義訊息、URL 和技術支援中心連絡人資訊。 如需詳細資訊,請檢閱 BitLocker 開機前復原畫面一文。
規劃 BitLocker 復原程式時,請先查閱組織目前復原敏感性資訊的最佳做法。 例如:
| ☑️ | 問題 |
|---|---|
| 🔲 | 組織如何處理遺失或忘記的密碼? |
| 🔲 | 組織如何執行智慧卡 PIN 重設? |
| 🔲 | 是否允許使用者儲存或擷取其擁有之裝置的復原資訊? |
| 🔲 | 您希望使用者參與 BitLocker 設定程式的程度? 您希望用戶與流程互動、保持沉默還是兩者兼而有之? |
| 🔲 | 您要將 BitLocker 修復金鑰儲存在哪裡? |
| 🔲 | 您想啟用恢復密碼輪換嗎? |
回答問題有助於判斷組織的最佳 BitLocker 復原程式,並據以設定 BitLocker 原則設定。 例如,如果組織有重設密碼的程式,則類似的程式可用於 BitLocker 復原。 如果不允許使用者儲存或擷取復原資訊,組織可以使用資料復原代理程式 (DRA) ,或自動備份復原資訊。
下列原則設定會定義可用來還原受 BitLocker 保護磁碟驅動器存取的復原方法:
提示
在每個原則中,選取 [將 BitLocker 復原資訊儲存至 Active Directory 網域服務],然後選擇要儲存在 AD DS 中的 BitLocker 復原資訊。 使用 [在復原資訊儲存在 AD DS 之前,不要啟用 BitLocker] 選項,以防止使用者啟用 BitLocker,除非磁碟驅動器的 BitLocker 復原資訊備份至 Microsoft Entra ID 或 AD DS 成功。
BitLocker 修復密碼
若要復原 BitLocker,使用者可以使用復原密碼 (如果有的話)。 BitLocker 修復密碼對於建立它的裝置來說是唯一的,並且可以透過不同的方式儲存。 視設定的原則設定而定,復原密碼可以是:
- 儲存在 Microsoft Entra ID 中,用於已加入的 Microsoft Entra
- 儲存在 AD DS 中,適用於已加入 Active Directory 的裝置
- 保存在文本文件中
- 印刷
訪問恢復密碼允許持有者解鎖受 BitLocker 保護的卷並訪問其所有數據。 因此,您的組織必須建立程序來控制對修復密碼的存取,並確保它們安全地儲存,與它們保護的裝置分開。
注意
有一個選項可將 BitLocker 恢復密鑰存儲在用戶的 Microsoft 帳戶中。 此選項適用於非網域成員且使用者使用 Microsoft 帳戶的裝置。 將修復密碼儲存在 Microsoft 帳戶中,是未加入 Microsoft Entra 或未加入 Active Directory 的裝置的預設建議修復金鑰儲存方法。
修復密碼的備份應該在啟用 BitLocker 之前設定,但也可以在加密之後完成,如 BitLocker 作業指南中所述。
組織中慣用的備份方法是自動將 BitLocker 復原資訊儲存在中央位置。 視組織的需求而定,復原資訊可以儲存在 Microsoft Entra ID、AD DS 或檔案共用中。
建議使用下列 BitLocker 備份方法:
- 針對已加入 Microsoft Entra 的裝置,請將復原金鑰儲存在 Microsoft Entra ID 中
- 針對已加入 Active Directory 的裝置,請將修復金鑰儲存在 AD DS 中
注意
沒有自動方式可將抽取式儲存裝置的復原金鑰儲存在 Microsoft Entra ID 或 AD DS 中。 但是,您可以使用 PowerShell 或 manage.bde.exe 命令來執行此操作。 如需詳細資訊和範例,請檢閱 BitLocker 作業指南。
資料復原代理程式
DRA 可用於恢復作業系統磁碟機、固定資料磁碟機和可移動資料磁碟機。 但是,當用於恢復作業系統磁碟機時,作業系統磁碟機必須掛載在另一台裝置上作為 資料磁碟機 ,DRA 才能解鎖磁碟機。 資料復原代理程式會在磁碟機加密時新增至磁碟機,並且可以在加密發生後進行更新。
使用 DRA 勝過密碼或金鑰復原的優點是 DRA 會做為 BitLocker 的主要 金鑰 。 使用 DRA,您可以復原任何受原則保護的磁碟區,而不需要為每個個別磁碟區尋找特定的密碼或金鑰。
若要為已加入 Active Directory 網域的裝置設定 DRA,需要執行下列步驟:
- 取得 DRA 憑證。 BitLocker 會在使用憑證之前檢查下列金鑰使用方式和增強型金鑰使用方式屬性。
- 如果存在索引鍵使用屬性,則它必須是:
CERT_DATA_ENCIPHERMENT_KEY_USAGECERT_KEY_AGREEMENT_KEY_USAGECERT_KEY_ENCIPHERMENT_KEY_USAGE
- 如果存在增強型金鑰使用方式 (EKU) 屬性,則必須是:
- 如原則設定中所指定,或預設值
1.3.6.1.4.1.311.67.1.1 - 憑證授權單位支援的任何 EKU 物件識別碼 (CA)
- 如原則設定中所指定,或預設值
- 如果存在索引鍵使用屬性,則它必須是:
- 使用路徑透過群組原則新增 DRA:電腦設定>原則Windows 設定>安全性>設定>公開金鑰原則>BitLocker 磁碟機加密
- 設定 [ 提供組織的唯一識別碼 ] 原則設定,將唯一識別碼與啟用 BitLocker 的新磁碟驅動器產生關聯。 識別欄位是用來唯一識別業務單位或組織的字串。 識別欄位是管理受 BitLocker 保護磁碟驅動器上資料復原代理程式的必要欄位。 BitLocker 只會在磁碟驅動器上存在識別欄位時,管理和更新 DRA ,且與裝置上設定的值相同
- 設定下列原則設定,以允許針對每種磁碟機類型使用 DRA 進行復原:
儲存在 Microsoft Entra ID 中的 BitLocker 復原資訊
已加入 Microsoft Entra 裝置的 BitLocker 復原資訊可以儲存在 Microsoft Entra ID 中。 將 BitLocker 修復密碼儲存在 Microsoft Entra ID 中的優點是,使用者可以輕鬆地從 Web 擷取指派給他們的裝置密碼,而不需要技術支援台。
恢復密碼的存取權也可以委派給服務台,以促進支援案例。
儲存在 Microsoft Entra ID 中的 BitLocker 修復密碼資訊是資源bitlockerRecoveryKey類型。 您可以使用 PowerShell 或使用 Microsoft Graph 從 Microsoft Entra 系統管理中心、Microsoft Intune 系統管理中心 (中註冊 Intune) Microsoft的裝置擷取資源。 如需詳細資訊,請參閱 bitlockerRecoveryKey 資源類型。
儲存在 AD DS 中的 BitLocker 復原資訊
加入 Active Directory 網域之裝置的 BitLocker 復原資訊可以儲存在 AD DS 中。 資訊會儲存在電腦物件本身的子物件中。 每個 BitLocker 復原物件都包含復原密碼和其他復原資訊。 每個電腦物件底下可以存在多個 BitLocker 復原物件,因為可以有多個與已啟用 BitLocker 的磁碟區相關聯的復原密碼。
BitLocker 復原物件的名稱會包含全域唯一識別碼 (GUID) 以及日期和時間資訊,固定長度為 63 個字元。 語法是 <Object Creation Date and Time><Recovery GUID>。
注意
Active Directory 會維護電腦物件所有修復密碼的歷程記錄。 除非刪除電腦物件,否則舊的修復金鑰不會自動從 AD DS 移除。
BitLocker 復原物件 (cn) 的通用名稱是 ms-FVE-RecoveryInformation。 每個 ms-FVE-RecoveryInformation 物件都有下列屬性:
| 屬性名稱 | 描述 |
|---|---|
ms-FVE-RecoveryPassword |
用來復原 BitLocker 加密磁碟磁碟區的 48 位數復原密碼。 |
ms-FVE-RecoveryGuid |
與 BitLocker 修復密碼相關聯的 GUID。 在 BitLocker 的復原模式中,GUID 會顯示給使用者,以便找到正確的復原密碼來解除鎖定磁碟區。 GUID 也會包含在復原物件的名稱中。 |
ms-FVE-VolumeGuid |
與 BitLocker 支援的磁碟磁碟區相關聯的 GUID。 雖然儲存在) 中的 ms-FVE-RecoveryGuid 密碼 (每個修復密碼都是唯一的,但磁碟區識別碼對於每個 BitLocker 加密磁碟區都是唯一的。 |
ms-FVE-KeyPackage |
磁碟區的 BitLocker 加密金鑰,由對應的修復密碼所保護。 使用此金鑰套件和修復密碼 (儲存在) 中 ms-FVE-RecoveryPassword ,如果磁碟損毀,則可以解密受 BitLocker 保護磁碟區的部分。 每個金鑰套件僅適用於具有對應磁碟區識別碼 (儲存在) 中的 ms-FVE-VolumeGuid 磁碟區。 BitLocker 修復工具可用來使用金鑰套件。 |
若要深入瞭解儲存在 AD DS 中的 BitLocker 屬性,請檢閱下列文章:
根據預設,不會儲存 BitLocker 金鑰套件。 若要將套件與復原密碼一起儲存在 AD DS 中,必須在控制復原方法的原則中選取 [備份復原密碼和金鑰套件 原則設定]。 金鑰套件也可以從工作磁區匯出。
如果復原資訊未備份至 AD DS,或您想要將金鑰套件儲存在替代位置,請使用下列命令來產生磁碟區的金鑰套件:
manage-bde.exe -KeyPackage C: -id <id> -path <path>
在指定的路徑中建立檔案名稱格式為 的 BitLocker Key Package {<id>}.KPG 檔案。
注意
若要從未鎖定、受 BitLocker 保護的磁碟區匯出新的金鑰套件,在磁碟區發生任何損壞之前,需要工作磁碟區的本機系統管理員存取權。
後續步驟
瞭解如何取得已加入 Microsoft Entra、Microsoft Entra 混合式加入和已加入 Active Directory 裝置的 BitLocker 復原資訊,以及如何還原鎖定磁碟驅動器的存取權: