Condividi tramite

Le versioni precedenti di Windows non vengono avviate dopo il passaggio "Configura Windows e Configuration Manager" se si usa Pre-Provision BitLocker con Windows 10, versione 1511

  • Articolo

Questo articolo spiega perché le versioni precedenti di Windows non vengono avviate dopo l'esecuzione del passaggio "Setup Windows and Configuration Manager" se si usa Pre-Provision BitLocker con Windows 10, versione 1511.

Si applica a: Windows 10 - tutte le edizioni, Windows 7 Service Pack 1
Numero KB originale: 4494799

Sintomi

Si consideri lo scenario seguente:

  • Installare Windows 10, versione 1511 ADK nelle immagini d'avvio.
  • Si applicano KB3143760 alle immagini d'avvio.
  • Si vuole installare una versione di Windows precedente a Windows 10, versione 1511 usando le nuove immagini d'avvio 1511. A tale scopo, aggiungere il passaggio predefinito "Pre-ProvisionIng BitLocker" alla sequenza di attività. In questo modo, la funzionalità "Solo spazio usato" consente di velocizzare la crittografia dell'unità BitLocker.

Tutti i passaggi della sequenza di attività funzionano come previsto fino al passaggio "Configura Windows e Configuration Manager". Dopo l'esecuzione di questo passaggio, il dispositivo viene avviato in una schermata "Ripristino" che visualizza un messaggio "Non sono disponibili altre opzioni di ripristino di BitLocker nel PC" e assomiglia allo screenshot seguente:

Screenshot della schermata Ripristino dopo questo passaggio.

Causa

Questo problema si verifica perché la crittografia predefinita in Windows 10 versione 1511 è stata modificata da AES 128 a XTS-AES 128 per migliorare la sicurezza. Il nuovo metodo di crittografia non viene riconosciuto dalle versioni dei sistemi rilasciate prima di Windows 10, versione 1511.

Per verificare questa situazione, abilitare il supporto della riga di comando ed eseguire il comando seguente durante la fase di Windows PE:

manage-bde.exe -status

Screenshot dell'output del comando, che mostra il metodo di crittografia XTS-AES 128.

Risoluzione

Per risolvere questo problema, usare un passaggio Esegui riga di comando. A tale scopo, aggiungere il comando seguente prima del passaggio della sequenza di attività "Pre-ProvisionIng BitLocker":

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f

Screenshot delle proprietà del passaggio della sequenza di attività aggiunta: Impostare BitLocker Key Strength AES 128.

Se viene usata un'immagine di avvio x64, selezionare l'opzione per disabilitare il reindirizzamento del file system a 64 bit.

Se si preferisce altri metodi di crittografia, ad esempio AES 256, usare le indicazioni riportate nella tabella seguente.

Valore Metodo di crittografia Significato e sintassi della riga di comando
1 AES_128_WITH_DIFFUSER Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) e migliorato usando un livello diffusore con una dimensione della chiave AES di 128 bit.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f
2 AES_256_WITH_DIFFUSER Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) e migliorato usando un livello di diffusore con una dimensione della chiave AES di 256 bit.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f
3 AES_128 Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) con una dimensione della chiave AES di 128 bit.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
4 AES_256 Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) con dimensioni della chiave AES di 256 bit.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f
6 XTS_AES128 * Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) con una dimensione della chiave XTS-AES di 128 bit. Si tratta dell'impostazione predefinita per Windows PE 10.0.586.0 (versione 1511).

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f
7 XTS_AES256 * Il volume è stato completamente o parzialmente crittografato dall'algoritmo AES (Advanced Encryption Standard) con una dimensione della chiave XTS-AES di 256 bit. reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f

* Supportato solo per le distribuzioni di immagini di Windows 10, versione 1511 o versioni successive

La distribuzione del sistema funzionerà ora. Il metodo di crittografia viene nuovamente impostato su AES 128, come nelle versioni precedenti di Windows PE.

Screenshot dell'output del comando di stato bde dopo aver usato il passaggio della sequenza di attività, che mostra che il metodo di crittografia è nuovamente impostato su AES 128.

Riferimenti

Novità di Windows 10, versioni 1507 e 1511