Condividi tramite


Schermata di ripristino dell'avvio preliminare di BitLocker

Durante il ripristino di BitLocker, la schermata di ripristino dell'avvio preliminare è un punto di tocco critico per gli utenti, che offre un messaggio di ripristino personalizzato su misura per le esigenze dell'organizzazione, un URL di ripristino diretto per un supporto aggiuntivo e suggerimenti strategici per aiutare gli utenti a individuare la chiave di ripristino.

Questo articolo illustra i vari elementi visualizzati nella schermata di ripristino di preavvio, descrivendo in dettaglio il modo in cui le impostazioni dei criteri e lo stato delle chiavi di ripristino influiscono sulle informazioni presentate. Che si tratti di un messaggio personalizzato o di una guida pratica, la schermata di ripristino di preavvelo è progettata per semplificare il processo di ripristino per gli utenti

Schermata di ripristino preavvata predefinita

Per impostazione predefinita, nella schermata di ripristino di BitLocker vengono visualizzati un messaggio generico e l'URL https://aka.ms/recoverykeyfaq.

Messaggio di ripristino personalizzato

Con le impostazioni dei criteri di BitLocker, è possibile configurare un messaggio di ripristino personalizzato e un URL nella schermata di ripristino preavvio di BitLocker. Il messaggio di ripristino personalizzato e l'URL possono includere l'indirizzo del portale di ripristino self-service di BitLocker, il sito Web interno IT o un numero di telefono per il supporto.

Impostazioni dei criteri di BitLocker configurate con un messaggio di ripristino personalizzato.

Impostazioni dei criteri di BitLocker configurate con un URL di ripristino personalizzato.

Per altre informazioni su come configurare un messaggio di ripristino personalizzato con le impostazioni dei criteri, vedere Configurare il messaggio e l'URL di ripristino di preavvamento.

Suggerimenti per i tasti di ripristino

I metadati di BitLocker includono informazioni su quando e dove è stata salvata una chiave di ripristino di BitLocker. Queste informazioni non vengono esposte tramite l'interfaccia utente o qualsiasi API pubblica. Viene usato esclusivamente dalla schermata di ripristino di BitLocker sotto forma di hint per aiutare un utente a individuare la chiave di ripristino di un volume. Gli hint vengono visualizzati nella schermata di ripristino e fanno riferimento alla posizione in cui è stata salvata la chiave. Gli hint si applicano sia alla schermata di ripristino di Boot Manager che alla schermata di sblocco di WinRE.

Esistono regole che disciplinano l'hint visualizzato durante il ripristino (nell'ordine di elaborazione):

  1. Visualizza sempre il messaggio di ripristino personalizzato, se configurato tramite le impostazioni dei criteri
  2. Suggerimento generico sempre visualizzato: per altre informazioni, vedere https://aka.ms/recoverykeyfaq
  3. Se nel volume sono presenti più chiavi di ripristino, assegnare la priorità all'ultima chiave di ripristino creata (e di cui è stato eseguito correttamente il backup)
  4. Assegnare priorità alle chiavi con backup corretto rispetto alle chiavi di cui non è mai stato eseguito il backup
  5. Assegnare priorità agli hint di backup nell'ordine seguente per i percorsi di backup remoti:
    • Account Microsoft
    • Microsoft Entra ID
    • Active Directory
  6. Se una chiave è stata stampata e salvata in un file, visualizzare un hint combinato Cerca una stampa o un file di testo con la chiave, invece di due hint separati
  7. Se sono stati eseguiti più backup dello stesso tipo (remove vs. local) per la stessa chiave di ripristino, assegnare priorità alle informazioni di backup con la data di backup più recente
  8. Non è disponibile alcun suggerimento specifico per le chiavi salvate in un'istanza di Active Directory locale. In questo caso, viene visualizzato un messaggio personalizzato (se configurato) o un messaggio generico, Contattare l'help desk dell'organizzazione.
  9. Se sono presenti due chiavi di ripristino e ne viene eseguito solo un backup, il sistema richiede la chiave di cui è stato eseguito il backup, anche se l'altra chiave è più nuova

Esempio: password di ripristino singola salvata in file e backup singolo

In questo scenario la password di ripristino viene salvata in un file

Importante

Non è consigliabile stampare le chiavi di ripristino o salvarle in un file. Usare invece l'account Microsoft, l'ID Microsoft Entra o il backup di Active Directory.

Esempio: password di ripristino singola per account Microsoft e backup singolo

In questo scenario viene configurato un URL personalizzato. La password di ripristino è:

  • salvato nell'account Microsoft
  • non stampato
  • non salvato in un file

Risultato: vengono visualizzati gli hint per l'URL personalizzato e l'account Microsoft (https://aka.ms/myrecoverykey).

A partire da Windows 11 versione 24H2, la schermata di ripristino dell'avvio preliminare di BitLocker include l'hint dell'account Microsoft (MSA), se la password di ripristino viene salvata in un account del servizio gestito. Questo suggerimento consente all'utente di comprendere quale account dell'account del servizio gestito è stato usato per archiviare le informazioni sulla chiave di ripristino.

Esempio: password di ripristino singola in Active Directory Domain Services e backup singolo

In questo scenario viene configurato un URL personalizzato. La password di ripristino è:

  • salvato in Active Directory
  • non stampato
  • non salvato in un file

Risultato: viene visualizzato solo l'URL personalizzato.

Esempio: password di ripristino singola con più backup

In questo scenario, la password di ripristino è:

  • salvato nell'account Microsoft
  • salvato in Microsoft Entra ID
  • stampato
  • salvato nel file

Risultato: viene visualizzato solo l'hint dell'account Microsoft (https://aka.ms/myrecoverykey).

Esempio: più password di ripristino con backup sinlge

In questo scenario sono presenti due password di ripristino.

La password di ripristino n. 1 è:

  • salvato nel file
  • ora di creazione: 13:00
  • ID chiave: 4290B6C0-B17A-497A-8552-272CC30E80D4

La password di ripristino n. 2 è:

  • non è stato eseguito il backup
  • ora di creazione: 15:00
  • ID chiave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Risultato: viene visualizzato solo l'hint per la chiave di cui è stato eseguito il backup, anche se non è la chiave più recente.

Esempio: più password di ripristino con più backup

In questo scenario sono presenti due password di ripristino.

La password di ripristino n. 1 è:

  • Salvato nell'account Microsoft
  • Salvato in Microsoft Entra ID
  • ora di creazione: 13:00
  • ID chiave: 4290B6C0-B17A-497A-8552-272CC30E80D4

La password di ripristino n. 2 è:

  • Salvato in Microsoft Entra ID
  • ora di creazione: 15:00
  • ID chiave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Risultato: viene visualizzato l'hint Microsoft Entra ID (https://aka.ms/aadrecoverykey), che è la chiave più recente salvata.

Schermata informazioni aggiuntive sul ripristino

A partire da Windows 11 versione 24H2, la schermata di ripristino dell'avvio di BitLocker migliora le informazioni sull'errore di ripristino. La schermata di ripristino fornisce informazioni più dettagliate sulla natura dell'errore di ripristino, consentendo agli utenti di comprendere meglio e risolvere il problema.

Gli utenti hanno la possibilità di esaminare altre informazioni sull'errore di ripristino premendo il tasto ALT .

La schermata Informazioni di ripristino aggiuntive contiene una categoria di errore e un codice, che è possibile usare per recuperare altri dettagli dalla sezione successiva di questo articolo.

Le sezioni successive descrivono i codici per ogni categoria di errore di BitLocker. All'interno di ogni sezione è presente una tabella con il messaggio di errore visualizzato nella schermata di ripristino e la causa dell'errore. Alcune tabelle includono una possibile risoluzione.

Le categorie di errore sono:

Avviato dall'utente

Codice di errore Causa dell'errore Risoluzione
E_FVE_USER_REQUESTED_RECOVERY L'utente ha attivato in modo esplicito la modalità di ripristino da una schermata con l'opzione alla ESC modalità di ripristino.
E_FVE_BOOT_DEBUG_ENABLED La modalità di debug di avvio è abilitata. Rimuovere l'opzione di debug di avvio dal database di configurazione di avvio.

Integrità del codice

L'imposizione della firma del driver viene usata per garantire l'integrità del codice del sistema operativo.

Codice di errore Causa dell'errore
E_FVE_CI_DISABLED L'imposizione della firma del driver è disabilitata.

Blocco del dispositivo

La funzionalità soglia di blocco del dispositivo consente a un amministratore di configurare l'accesso a Windows con la protezione BitLocker. Dopo il numero configurato di tentativi di accesso a Windows non riusciti, il dispositivo viene riavviato e può essere ripristinato solo fornendo un metodo di ripristino BitLocker.

Per sfruttare questa funzionalità, è necessario configurare l'impostazione dei criteri Accesso interattivo: Soglia di blocco dell'account computer disponibile in Impostazioni di configurazione computer>Impostazioni>di sicurezza Impostazioni>di sicurezza Opzioni di sicurezza dei criteri> locali. In alternativa, usare l'impostazione del criterio Exchange ActiveSyncMaxFailedPasswordAttempts o il provider del servizio di configurazione DeviceLock (CSP).

Codice di errore Causa dell'errore Risoluzione
E_FVE_DEVICE_LOCKEDOUT Blocco del dispositivo attivato a causa di troppi tentativi di accesso non corretti. Per tornare alla schermata di accesso, è necessario un metodo di ripristino di BitLocker.
E_FVE_DEVICE_LOCKOUT_MISMATCH Il contatore di blocco del dispositivo non è sincronizzato. Per tornare alla schermata di accesso, è necessario un metodo di ripristino di BitLocker.

Boot Configuration

Il database di configurazione di avvio (BCD) contiene informazioni critiche per l'ambiente di avvio di Windows.

Codice di errore Causa dell'errore Risoluzione
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
BitLocker è entrato in modalità di ripristino perché un'applicazione di avvio è stata modificata.
BitLocker tiene traccia dei dati all'interno del bcd e il ripristino di BitLocker può verificarsi quando questi dati cambiano senza avviso.

Fare riferimento alla schermata di ripristino per trovare l'applicazione di avvio modificata.
Per risolvere questo problema, ripristinare la configurazione bcd. È necessario un metodo di ripristino di BitLocker per sbloccare il dispositivo se non è possibile ripristinare la configurazione BCD prima dell'avvio.

Per altre informazioni, vedere Impostazioni dei dati di configurazione di avvio e BitLocker.

TPM

Il TPM (Trusted Platform Module) è un hardware o firmware di crittografia usato per proteggere un dispositivo. BitLocker crea una protezione TPM per gestire la protezione delle chiavi di crittografia usate per crittografare i dati.

All'avvio, BitLocker tenta di comunicare con il TPM per sbloccare il dispositivo e accedere ai dati.

Codice di errore Causa dell'errore
E_FVE_TPM_DISABLED Un TPM è presente ma è disabilitato per l'uso prima o durante l'avvio.
E_FVE_TPM_INVALIDATED Un TPM è presente ma invalidato.
E_FVE_BAD_SRK La chiave radice di archiviazione interna del TPM è danneggiata.
E_FVE_TPM_NOT_DETECTED Il sistema di avvio non ha o non rileva un TPM.
E_MATCHING_PCRS_TPM_FAILURE Il TPM non è riuscito in modo imprevisto durante l'annullamento del sealing della chiave di crittografia.
E_FVE_TPM_FAILURE Catch-all per altri errori TPM.

Per altre informazioni, vedere Trusted Platform Module Technology Overview e BitLocker e TPM.

Protettore

Protezioni TPM

Il TPM contiene più registri di configurazione della piattaforma (PCR) che possono essere usati nel profilo di convalida della protezione TPM BitLocker. I PCR vengono usati per convalidare l'integrità del processo di avvio, ovvero che la configurazione di avvio e il flusso di avvio non sono stati manomessi.

Il ripristino di BitLocker può essere il risultato di modifiche impreviste nelle RICHIESTE usate nel profilo di convalida della protezione TPM. Le modifiche apportate alle richieste pcr non usate nel profilo di protezione TPM non influiscono su BitLocker.

Codice di errore Causa dell'errore Risoluzione
E_FVE_PCR_MISMATCH La configurazione del dispositivo è stata modificata.

Le possibili cause includono:
- Viene inserito un supporto di avvio. La rimozione e il riavvio del dispositivo potrebbero risolvere questo problema
- È stato applicato un aggiornamento del firmware senza aggiornare la protezione TPM
Per sbloccare il dispositivo è necessario un metodo di ripristino.

Per altri esempi, vedere Scenari di ripristino di BitLocker.

Casi speciali per PCR 7

Se la protezione TPM usa PCR 7 nel profilo di convalida, BitLocker prevede che PCR 7 misurerà un set specifico di eventi per l'avvio protetto. Queste misurazioni sono definite nella specifica UEFI. Per altre informazioni, vedere Static Root of Trust Measurements

Codice di errore Causa dell'errore Risoluzione
E_FVE_SECUREBOOT_DISABLED Avvio protetto è stato disabilitato. Per accedere alla chiave di crittografia e sbloccare il dispositivo, BitLocker prevede che l'avvio protetto sia attivato. La reimpostazione dell'avvio protetto e il riavvio del sistema potrebbero risolvere il problema di ripristino. In caso contrario, è necessario un metodo di ripristino per accedere al dispositivo.
E_FVE_SECUREBOOT_CHANGED La configurazione dell'avvio protetto è stata modificata in modo imprevisto. La configurazione di avvio misurata in PCR 7 è stata modificata.
Ciò può essere dovuto a:
- Una misura aggiuntiva attualmente presente che non era presente quando BitLocker ha aggiornato la protezione TPM
- Misurazione mancante presente all'ultimo aggiornamento di BitLocker della protezione TPM, ma che ora non è presente
- Un evento previsto ha una misurazione diversa
Per sbloccare il dispositivo è necessario un metodo di ripristino.

Sconosciuto

Codice di errore Causa dell'errore Risoluzione
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker è entrato in modalità di ripristino a causa di un errore sconosciuto. Per sbloccare il dispositivo è necessario un metodo di ripristino.