Recuperação do BitLocker: problemas conhecidos

Este artigo descreve problemas comuns que podem impedir que o BitLocker se comporte conforme o esperado quando uma unidade é recuperada ou que podem fazer com que o BitLocker inicie a recuperação inesperadamente. O artigo também fornece orientações para resolver esses problemas.

Observação

Neste artigo, "senha de recuperação" refere-se à senha de recuperação de 48 dígitos e "chave de recuperação" refere-se à chave de recuperação de 32 dígitos. Para obter mais informações, consulte Protetores de chave do BitLocker.

Para obter mais informações sobre criptografia de dispositivo, consulte Requisitos de hardware de criptografia automática de dispositivo do BitLocker.

O Windows solicita uma senha de recuperação do BitLocker inexistente

O Windows solicita uma senha de recuperação do BitLocker. No entanto, uma senha de recuperação do BitLocker não foi configurada.

A resolução para Windows solicita uma senha de recuperação do BitLocker inexistente

As perguntas frequentes sobre o BitLocker e o AD DS (Serviços de Domínio Active Directory) abordam situações que podem produzir esse sintoma e fornecem informações sobre o procedimento para resolver o problema:

• E se o BitLocker estiver habilitado em um computador antes que o computador ingresse no domínio?

• O que acontece se o backup falha inicialmente? O BitLocker tentará novamente?

A senha de recuperação de um laptop não foi copiada e o laptop está bloqueado

Considere o cenário a seguir.

O disco rígido de um laptop com Windows 11 ou Windows 10 deve ser recuperado. O disco foi criptografado usando a Criptografia de Driver do BitLocker. No entanto, a senha de recuperação do BitLocker não foi copiada e o usuário habitual do laptop não está disponível para fornecer a senha.

A resolução da senha de recuperação de um laptop não foi copiada

Você pode usar um dos seguintes métodos para fazer backup ou sincronizar manualmente as informações de recuperação existentes de um cliente online:

• Crie um script WMI (Instrumentação de Gerenciamento do Windows) que faça backup das informações. Para obter mais informações, consulte Provedor de criptografia de unidade de disco BitLocker.

• Em uma janela do Prompt de Comando com privilégios elevados, use o comando manage-bde.exe para fazer backup das informações.

  Por exemplo, para fazer backup de todas as informações de recuperação da unidade C: para o AD DS, abra uma janela de Prompt de Comando com privilégios elevados e execute o seguinte comando:

  cmd manage-bde.exe -protectors -adbackup C:

---

Observação

O BitLocker não gerencia automaticamente esse processo de backup.

Os tablets não dão suporte ao uso manage-bde.exe -forcerecovery para testar o modo de recuperação

Considere o cenário a seguir.

A recuperação do BitLocker precisa ser testada em um tablet ou dispositivo slate executando o seguinte comando:

cmd manage-bde.exe -forcerecovery

---

No entanto, depois de inserir a senha de recuperação, o dispositivo não pode iniciar.

Causa de dispositivos tablet não suportam o uso manage-bde.exe -forcerecovery para testar o modo de recuperação

Importante

Os tablets não suportam o manage-bde.exe -forcerecovery comando.

Esse problema ocorre porque o Gerenciador de Inicialização do Windows não pode processar a entrada por toque durante a fase de pré-inicialização da inicialização. Se o Gerenciador de Inicialização detectar que o dispositivo é um tablet, ele redirecionará o processo de inicialização para o WinRE (Ambiente de Recuperação do Windows), que pode processar a entrada por toque.

Se o WindowsRE detectar o protetor TPM no disco rígido, ele fará uma nova vedação de PCR. No entanto, o manage-bde.exe -forcerecovery comando exclui os protetores do TPM no disco rígido. Portanto, o WinRE não pode selar novamente os PCRs. Essa falha dispara um ciclo de recuperação infinito do BitLocker e impede que o Windows seja iniciado.

Esse comportamento é por design para todas as versões do Windows.

A solução alternativa para tablets não dá suporte ao uso manage-bde.exe -forcerecovery para testar o modo de recuperação

Para resolver o loop de reinicialização, siga estas etapas:

1. Na tela Recuperação do BitLocker, selecione Ignorar esta unidade.

2. Selecione Solucionar problemas>do prompt de comando de opções>avançadas.

3. Na janela do prompt de comando, execute os seguintes comandos:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Feche a janela do Prompt de Comando.

5. Desligar o dispositivo.

6. Inicie o dispositivo. O Windows deve iniciar normalmente.

Depois de instalar as atualizações de firmware UEFI ou TPM no Surface, o BitLocker solicita a senha de recuperação

Considere o cenário a seguir.

Um dispositivo Surface tem a criptografia de unidade BitLocker ativada. O firmware do TPM do Surface é atualizado ou é instalada uma atualização que altera a assinatura do firmware do sistema. Por exemplo, a atualização do Surface TPM (IFX) está instalada.

Tem um ou mais dos seguintes sintomas no dispositivo Surface:

• Na inicialização, o dispositivo Surface solicita uma senha de recuperação do BitLocker. A senha de recuperação correta é inserida, mas o Windows não é inicializado.

• A inicialização progride diretamente para as configurações da UEFI (Interface de Firmware Extensível Unificada) do dispositivo Surface.

• O dispositivo Surface parece estar em um loop de reinicialização infinito.

Causa da instalação das atualizações de firmware UEFI ou TPM no Surface, o BitLocker solicita a senha de recuperação

Esse problema ocorrerá se o TPM do dispositivo Surface estiver configurado para usar valores de PCR (Registro de Configuração de Plataforma) diferentes dos valores padrão de PCR 7 e PCR 11. Por exemplo, as seguintes configurações podem definir o TPM dessa maneira:

• A inicialização segura está desativada.
• Os valores de PCR foram definidos explicitamente, como pela política de grupo.

Os dispositivos que dão suporte ao Modo de Espera Conectado (também conhecido como InstantGO ou Always On, Always Connected PCs), incluindo dispositivos Surface, devem usar o PCR 7 do TPM. Em sua configuração padrão nesses sistemas, o BitLocker se associa ao PCR 7 e ao PCR 11 se o PCR 7 e a Inicialização Segura estiverem configurados corretamente.

Resolução para depois de instalar atualizações de firmware UEFI ou TPM no Surface, o BitLocker solicita a senha de recuperação

Para verificar os valores de PCR que estão em uso em um dispositivo, abra uma janela de prompt de comando com privilégios elevados e execute o seguinte comando:

manage-bde.exe -protectors -get <OSDriveLetter>:

Neste comando, <OSDriveLetter> representa a letra da unidade do sistema operacional.

Para resolver esse problema e reparar o dispositivo, siga estas etapas:

Etapa 1: Desative os protetores TPM na unidade de inicialização

Se uma atualização do TPM ou UEFI tiver sido instalada e o dispositivo Surface não puder ser iniciado, mesmo que a senha de recuperação correta do BitLocker tenha sido inserida, a capacidade de iniciar poderá ser restaurada usando a senha de recuperação do BitLocker e uma imagem de recuperação do Surface para remover os protetores do TPM da unidade de inicialização.

Para usar a senha de recuperação do BitLocker e uma imagem de recuperação do Surface para remover os protetores do TPM da unidade de inicialização, siga estas etapas:

1. Obtenha a senha de recuperação do BitLocker da conta Microsoft.com do usuário do Surface. Se o BitLocker for gerenciado por um método diferente, como o MBAM (Administração e Monitoramento do Microsoft BitLocker), o Gerenciamento do BitLocker do Configuration Manager ou o Intune, entre em contato com o administrador para obter ajuda.

2. Utilize outro computador para transferir a imagem de recuperação do Surface a partir da transferência de imagens de recuperação do Surface. Use a imagem baixada para criar uma unidade de recuperação USB.

3. Insira a unidade de imagem de recuperação USB do Surface no dispositivo Surface e inicie o dispositivo.

4. Quando solicitado, selecione os seguintes itens:

   1. O idioma do sistema operacional.

   2. O layout do teclado.

5. Selecione Solucionar problemas>do prompt de comando de opções>avançadas.

6. Na janela do prompt de comando, execute os seguintes comandos:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   em que:

   • <Password> é a senha de recuperação do BitLocker obtida na Etapa 1
   • <DriveLetter> é a letra da unidade atribuída à unidade do sistema operacional

   Observação

   Para obter mais informações sobre como usar esse comando, consulte manage-bde unlock.

7. Reinicie o computador.

8. Quando solicitado, insira a senha de recuperação do BitLocker obtida na Etapa 1.

Observação

Depois que os protetores do TPM forem desabilitados, a criptografia de unidade do BitLocker não protegerá mais o dispositivo. Para reabilitar a criptografia de unidade de disco BitLocker, selecione Iniciar, digite Gerenciar BitLocker e pressione Enter. Siga as etapas para criptografar a unidade.

Etapa 2: Usar a BMR do Surface para recuperar dados e redefinir o dispositivo Surface

Para recuperar dados do dispositivo Surface se o Windows não iniciar, siga as etapas 1 a 5 da seção Etapa 1: desabilitar os protetores TPM na unidade de inicialização para acessar uma janela do Prompt de Comando. Quando uma janela do prompt de comando estiver aberta, siga estas etapas:

1. No prompt de comando, execute o seguinte comando:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   Neste comando, <Password> é a senha de recuperação do BitLocker que foi obtida na Etapa 1 da seção Etapa 1: Desabilitar os protetores TPM na unidade de inicialização e <DriveLetter> é a letra da unidade atribuída à unidade do sistema operacional.

2. Depois que a unidade for desbloqueada, use o copy comando ou xcopy.exe para copiar os dados do usuário para outra unidade.

   Observação

   Para obter mais informações sobre esses comandos, consulte o artigo Comandos do Windows.

3. Para repor o dispositivo utilizando uma imagem de recuperação do Surface, siga as instruções no artigo Criar e utilizar uma unidade de recuperação USB para o Surface.

Etapa 3: restaurar os valores de PCR padrão

Para evitar que esse problema se repita, é recomendável restaurar a configuração padrão da Inicialização Segura e os valores de PCR.

Para habilitar a Inicialização Segura em um dispositivo Surface, siga estas etapas:

1. Suspenda o BitLocker abrindo uma janela do Windows PowerShell com privilégios elevados e executando o seguinte cmdlet do PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Neste comando, <DriveLetter> é a letra atribuída à unidade.

2. Reinicie o dispositivo e edite as configurações de UEFI para definir a opção Inicialização Segura como Somente Microsoft.

3. Reinicie o dispositivo e entre no Windows.

4. Abra uma janela do PowerShell com privilégios elevados e execute o seguinte cmdlet do PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Para redefinir as configurações de PCR no TPM, siga estas etapas:

1. Desabilite todos os Objetos de Política de Grupo que definem as configurações de PCR ou remova o dispositivo de todos os grupos que impõem essas políticas.

   Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.

2. Suspenda o BitLocker abrindo uma janela do Windows PowerShell com privilégios elevados e executando o seguinte cmdlet do PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   Neste comando, <DriveLetter> é a letra atribuída à unidade.

3. Execute o seguinte cmdlet do PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Etapa 4: Suspender o BitLocker durante as atualizações de firmware do TPM ou UEFI

Você pode evitar esse cenário ao instalar atualizações no firmware do sistema ou no firmware do TPM suspendendo temporariamente o BitLocker antes de aplicar essas atualizações.

Importante

As atualizações de firmware TPM e UEFI podem exigir várias reinicializações durante a instalação. Para manter o BitLocker suspenso durante esse processo, o cmdlet Suspend-BitLocker do PowerShell deve ser usado e o parâmetro Reboot Count deve ser definido como um dos seguintes valores:

• 2 ou superior: esse valor define o número de vezes que o dispositivo será reiniciado antes que a Criptografia de Dispositivo BitLocker seja retomada. Por exemplo, definir o valor como 2 fará com que o BitLocker seja retomado depois que o dispositivo for reiniciado duas vezes.

• 0: esse valor suspende a Criptografia de Unidade de Disco BitLocker indefinidamente. Para retomar o BitLocker, o cmdlet do PowerShell Resume-BitLocker ou outro mecanismo precisa ser usado para retomar a proteção do BitLocker.

Para suspender o BitLocker durante a instalação de atualizações de firmware TPM ou UEFI:

1. Abra uma janela do Windows PowerShell com privilégios elevados e execute o seguinte cmdlet do PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   Neste cmdlet do PowerShell, <DriveLetter> é a letra atribuída à unidade.

2. Instale o driver de dispositivo Surface e as atualizações de firmware.

3. Depois de instalar as atualizações de firmware, reinicie o computador, abra uma janela do PowerShell com privilégios elevados e execute o seguinte cmdlet do PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard no TPM 1.2: a cada reinicialização, o BitLocker solicita a senha de recuperação e retorna o erro 0xC0210000

Considere o cenário a seguir.

Um dispositivo usa o TPM 1.2 e executa o Windows 10, versão 1809. O dispositivo também usa recursos de segurança baseados em virtualização, como Device Guard e Credential Guard. Sempre que o dispositivo é iniciado, o dispositivo entra no modo de recuperação do BitLocker e uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:

Recuperação

Seu PC/dispositivo precisa ser reparado. Um arquivo necessário não pôde ser acessado porque sua chave do BitLocker não foi carregada corretamente.

Código de erro 0xc0210000

Você precisará usar ferramentas de recuperação. Se você não tiver nenhuma mídia de instalação (como um disco ou dispositivo USB), entre em contato com o administrador do PC ou com o fabricante do PC/Dispositivo.

Causa do Credential Guard/Device Guard no TPM 1.2: a cada reinicialização, o BitLocker solicita a senha de recuperação e retorna o erro 0xC0210000

O TPM 1.2 não dá suporte ao Secure Launch. Para obter mais informações, consulte Inicialização segura do System Guard e proteção SMM: requisitos atendidos por computadores habilitados para System Guard

Para obter mais informações sobre essa tecnologia, consulte Windows Defender System Guard: como uma raiz de confiança baseada em hardware ajuda a proteger o Windows

Resolução para o Credential Guard/Device Guard no TPM 1.2: a cada reinicialização, o BitLocker solicita a senha de recuperação e retorna o erro 0xC0210000

Para resolver esse problema, use uma das duas soluções a seguir:

• Remova qualquer dispositivo que use o TPM 1.2 de qualquer grupo sujeito a GPOs que impõem a inicialização segura.
• Edite o GPO Ativar Segurança Baseada em Virtualização para definir a Configuração de Inicialização Segura como Desabilitada.