Compartilhar via

As versões anteriores do Windows não serão iniciadas após a etapa "Configurar o Windows e o Configuration Manager" se o BitLocker de Pré-Provisionamento for usado com Windows 10, versão 1511

  • Artigo

Este artigo explica por que as versões anteriores do Windows não são iniciadas depois que você executa a etapa "Configurar o Windows e o Configuration Manager" se o BitLocker Pré-Provisionado for usado com Windows 10, versão 1511.

Aplica-se a: Windows 10 – todas as edições, Windows 7 Service Pack 1
Número original do KB: 4494799

Sintomas

Considere este cenário:

  • Você instala o Windows 10, versão 1511 ADK em suas imagens de inicialização.
  • Você aplica KB3143760 às suas imagens de inicialização.
  • Você deseja instalar uma versão do Windows anterior ao Windows 10, versão 1511 usando suas novas imagens de inicialização 1511. Para fazer isso, adicione a etapa interna "Pré-provisionar BitLocker" à sua sequência de tarefas. Isso habilita o recurso "Criptografia somente de espaço usado" para acelerar a criptografia de unidade do BitLocker.

Todas as etapas na sequência de tarefas funcionam conforme o esperado até a etapa "Configurar Windows e Configuration Manager". Após a execução dessa etapa, o dispositivo é inicializado em uma tela de "Recuperação" que exibe a mensagem "Não há mais opções de recuperação do BitLocker no computador" e se assemelha à seguinte captura de tela:

Captura de tela da tela de recuperação após esta etapa.

Motivo

Esse problema ocorre porque a criptografia padrão no Windows 10, versão 1511, foi alterada de AES 128 para XTS-AES 128 para melhorar a segurança. O novo método de criptografia não é reconhecido por versões de sistemas lançadas antes do Windows 10, versão 1511.

Para verificar essa situação, habilite o suporte à linha de comando e execute o seguinte comando durante a fase do Windows PE:

manage-bde.exe -status

Captura de tela da saída do comando, que mostra que o método de criptografia é XTS-AES 128.

Resolução

Para resolver esse problema, use uma etapa Executar Linha de Comando. Para fazer isso, adicione o seguinte comando antes da etapa de sequência de tarefas "Pré-provisionar o BitLocker":

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f

Captura de tela das propriedades da etapa de sequência de tarefas adicionada: Definir Força de Chave do BitLocker AES 128.

Se uma imagem de inicialização x64 for usada, selecione a opção para desabilitar o redirecionamento do sistema de arquivos de 64 bits.

Se você preferir outros métodos de criptografia, como AES 256, use as diretrizes na tabela a seguir.

Valor Método de criptografia Significado e sintaxe da linha de comando
1 AES_128_WITH_DIFFUSER O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) e aprimorado usando uma camada difusora que tem um tamanho de chave AES de 128 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f
2 AES_256_WITH_DIFFUSER O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) e aprimorado usando uma camada difusora que tem um tamanho de chave AES de 256 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f
3 AES_128 O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) que tem um tamanho de chave AES de 128 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
4 AES_256 O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) que tem um tamanho de chave AES de 256 bits.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f
6 XTS_AES128 * O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) que tem um tamanho de chave XTS-AES de 128 bits. Esse é o padrão para o Windows PE 10.0.586.0 (versão 1511).

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f
7 XTS_AES256 * O volume foi total ou parcialmente criptografado pelo algoritmo AES (Advanced Encryption Standard) que tem um tamanho de chave XTS-AES de 256 bits. reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f

* Com suporte apenas para implantações de imagens do Windows 10, versão 1511 ou versões posteriores

A implantação do sistema agora funcionará. O método de criptografia é novamente definido como AES 128, como era em versões mais antigas do Windows PE.

Captura de tela da saída do comando bde status após usar a etapa de sequência de tarefas, que mostra que o método de criptografia está novamente definido como AES 128.

Referências

Novidades no Windows 10, versões 1507 e 1511