Восстановление BitLocker: известные проблемы
В этой статье описываются распространенные проблемы, которые могут предотвратить поведение BitLocker как ожидалось при восстановлении диска или что может привести к неожиданному запуску восстановления BitLocker. В этой статье также приводятся рекомендации по устранению этих проблем.
Примечание.
В этой статье "Пароль восстановления" ссылается на 48-значный пароль восстановления, а "ключ восстановления" — 32-значный ключ восстановления. Дополнительные сведения см. в разделе "Защита ключей BitLocker".
Дополнительные сведения о шифровании устройств см. в статье "Требования к оборудованию автоматического шифрования устройств BitLocker".
Windows запрашивает пароль восстановления BitLocker, не имеющийся
Windows запрашивает пароль восстановления BitLocker. Однако пароль восстановления BitLocker не настроен.
Разрешение для Windows запрашивает пароль восстановления BitLocker, не имеющийся
Часто задаваемые вопросы о BitLocker и службах домен Active Directory (AD DS), которые могут вызвать этот симптом, и предоставляет сведения о процедуре устранения проблемы:
Пароль восстановления для ноутбука не был резервирован, и ноутбук заблокирован
Рассмотрим следующий сценарий:
Жесткий диск ноутбука с Windows 11 или Windows 10 должен быть восстановлен. Диск был зашифрован с помощью шифрования драйвера BitLocker. Однако пароль восстановления BitLocker не был резервирован, и обычный пользователь ноутбука недоступен для предоставления пароля.
Разрешение пароля восстановления для ноутбука не было резервного копирования
Вы можете использовать любой из следующих методов, чтобы вручную создать резервную копию или синхронизировать существующие сведения о восстановлении клиента в Сети:
Создайте скрипт инструментария управления Windows (WMI), который создает резервную копию сведений. Дополнительные сведения см. в разделе "Поставщик шифрования дисков BitLocker".
В окне командной строки с повышенными привилегиями используйте команду manage-bde.exe для резервного копирования сведений.
Например, чтобы создать резервную копию всех сведений о восстановлении для диска C: в AD DS, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
cmd manage-bde.exe -protectors -adbackup C:
Примечание.
BitLocker не управляет этим процессом резервного копирования автоматически.
Планшетные устройства не поддерживают использование manage-bde.exe -forcerecovery
для тестирования режима восстановления
Рассмотрим следующий сценарий:
Восстановление BitLocker необходимо проверить на планшете или на устройстве slate, выполнив следующую команду:
cmd manage-bde.exe -forcerecovery
Однако после ввода пароля восстановления устройство не может запуститься.
Причина использования планшетных устройств не поддерживается для manage-bde.exe -forcerecovery
тестирования режима восстановления
Внимание
Устройства планшетов не поддерживают manage-bde.exe -forcerecovery
команду.
Эта проблема возникает, так как диспетчер загрузки Windows не может обрабатывать сенсорные входные данные во время предварительной загрузки при запуске. Если диспетчер загрузки обнаруживает, что устройство является планшетом, он перенаправляет процесс запуска в среду восстановления Windows (WinRE), которая может обрабатывать сенсорные входные данные.
Если WindowsRE обнаруживает защиту доверенного платформенного модуля на жестком диске, она выполняет повторную проверку pcR. Однако команда manage-bde.exe -forcerecovery
удаляет средства защиты доверенного платформенного модуля на жестком диске. Таким образом, WinRE не может повторно перепродать pcR. Этот сбой активирует бесконечный цикл восстановления BitLocker и предотвращает запуск Windows.
Это поведение осуществляется путем разработки для всех версий Windows.
Обходное решение для планшетных устройств не поддерживается для manage-bde.exe -forcerecovery
тестирования режима восстановления
Чтобы устранить цикл перезапуска, выполните следующие действия.
На экране восстановления BitLocker выберите "Пропустить этот диск".
Выберите команду "Устранение неполадок с дополнительными>параметрами>" в командной строке.
В окне командной строки выполните следующие команды:
manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password> manage-bde.exe -protectors -disable C:
Закройте окно командной строки.
Завершите работу устройства.
Запустите устройство. Windows должна начинаться как обычно.
После установки обновлений встроенного ПО UEFI или TPM на Surface BitLocker запрашивает пароль восстановления.
Рассмотрим следующий сценарий:
Устройство Surface включает шифрование диска BitLocker. Встроенное ПО доверенного платформенного модуля Surface обновляется или обновляется, которое изменяет сигнатуру системного встроенного ПО. Например, устанавливается обновление Surface TPM (IFX).
На устройстве Surface возникает один или несколько следующих симптомов:
При запуске устройство Surface запрашивает пароль восстановления BitLocker. Введен правильный пароль восстановления, но Windows не запускается.
Запуск выполняется непосредственно в параметрах единого расширяемого интерфейса встроенного ПО (UEFI) устройства Surface.
Устройство Surface, как представляется, в бесконечном цикле перезапуска.
Причина после установки обновлений встроенного ПО UEFI или доверенного платформенного модуля в Surface, BitLocker запрашивает пароль восстановления
Эта проблема возникает, если TPM устройства Surface настроен для использования значений регистра конфигурации платформы (PCR), отличных от значений по умолчанию PCR 7 и PCR 11. Например, следующие параметры могут настроить TPM таким образом:
- Безопасная загрузка отключена.
- Значения PCR были явно определены, например по групповой политике.
Устройства, поддерживающие подключенный резервный режим (также известный как InstantGO или AlwaysOn, компьютеры Always Connected), включая устройства Surface, должны использовать PCR 7 доверенного платформенного модуля. В конфигурации по умолчанию в таких системах BitLocker привязывается к PCR 7 и PCR 11, если PCR 7 и безопасная загрузка настроены правильно.
Разрешение после установки обновлений встроенного ПО UEFI или TPM в Surface BitLocker запрашивает пароль восстановления.
Чтобы проверить значения PCR, используемые на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:
manage-bde.exe -protectors -get <OSDriveLetter>:
В этой команде <OSDriveLetter> представляет букву диска операционной системы.
Чтобы устранить эту проблему и восстановить устройство, выполните следующие действия.
Шаг 1. Отключение предохранителей доверенного платформенного модуля на загрузочном диске
Если установлено обновление доверенного платформенного модуля или UEFI, и устройство Surface не может запуститься, даже если введен правильный пароль восстановления BitLocker, возможность запуска может быть восстановлена с помощью пароля восстановления BitLocker и образа восстановления Surface для удаления предохранителей доверенного платформенного модуля с загрузочного диска.
Чтобы использовать пароль восстановления BitLocker и образ восстановления Surface для удаления предохранителей доверенного платформенного модуля с загрузочного диска, выполните следующие действия.
Получите пароль восстановления BitLocker из учетной записи Microsoft.com пользователя Surface. Если BitLocker управляется другим методом, например microsoft BitLocker Administration and Monitoring (MBAM), Configuration Manager BitLocker Management или Intune, обратитесь к администратору за помощью.
С помощью другого компьютера можно скачать образ восстановления Surface из скачивания образа Surface Recovery. Используйте скачанный образ для создания USB-диска восстановления.
Вставьте диск образа восстановления USB Surface на устройство Surface и запустите устройство.
При появлении запроса выберите следующие элементы:
Язык операционной системы.
Раскладка клавиатуры.
Выберите команду "Устранение неполадок с дополнительными>параметрами>" в командной строке.
В окне командной строки выполните следующие команды:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>: manage-bde.exe -protectors -disable <DriveLetter>:
где:
- <Пароль — это пароль> восстановления BitLocker, полученный на шаге 1
- <DriveLetter> — это буква диска, назначенная диску операционной системы.
Примечание.
Дополнительные сведения об использовании этой команды см. в разделе "Управление разблокировкой".
Перезагрузите компьютер.
При появлении запроса введите пароль восстановления BitLocker, полученный на шаге 1.
Примечание.
После отключения защиты доверенного платформенного модуля шифрование диска BitLocker больше не защищает устройство. Чтобы повторно включить шифрование диска BitLocker, нажмите кнопку "Пуск", введите "Управление BitLocker" и нажмите клавишу ВВОД. Выполните действия, чтобы зашифровать диск.
Шаг 2. Использование Surface BMR для восстановления данных и сброса устройства Surface
Чтобы восстановить данные с устройства Surface, если Windows не запускается, выполните шаги 1–5 раздела 1. Отключите средства защиты доверенного платформенного модуля на загрузочном диске , чтобы открыть окно командной строки. После открытия окна командной строки выполните следующие действия.
В командной строке введите следующую команду:
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:
В этой команде <пароль — это пароль> восстановления BitLocker, полученный на шаге 1 раздела 1. Отключение средств защиты доверенного платформенного модуля на загрузочном диске, а <DriveLetter> — это буква диска, назначенная диску операционной системы.
После разблокировки диска используйте
copy
команду илиxcopy.exe
команду для копирования данных пользователя на другой диск.Примечание.
Дополнительные сведения об этих командах см. в статье о командах Windows.
Чтобы сбросить устройство с помощью образа восстановления Surface, следуйте инструкциям в статье "Создание и использование USB-диска восстановления для Surface".
Шаг 3. Восстановление значений PCR по умолчанию
Чтобы предотвратить повторение этой проблемы, рекомендуется восстановить конфигурацию безопасной загрузки по умолчанию и значения PCR.
Чтобы включить безопасную загрузку на устройстве Surface, выполните следующие действия.
Приостанавливайте BitLocker, открыв окно Windows PowerShell с повышенными привилегиями и выполнив следующий командлет PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
В этой команде DriveLetter> — это буква, <назначенная диску.
Перезапустите устройство, а затем измените параметры UEFI, чтобы задать параметр безопасной загрузки только для Майкрософт.
Перезапустите устройство и войдите в Windows.
Откройте окно PowerShell с повышенными привилегиями и выполните следующий командлет PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Чтобы сбросить параметры PCR в TPM, выполните следующие действия.
Отключите все объекты групповой политики, которые настраивают параметры PCR, или удалите устройство из любых групп, которые применяют такие политики.
Дополнительные сведения см. в разделе "Параметры групповой политики BitLocker".
Приостанавливайте BitLocker, открыв окно Windows PowerShell с повышенными привилегиями и выполнив следующий командлет PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
В этой команде DriveLetter> — это буква, <назначенная диску.
Запустите следующий командлет PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Шаг 4. Приостановка BitLocker во время обновлений встроенного ПО TPM или UEFI
Этот сценарий можно избежать при установке обновлений для системного ПО или встроенного ПО доверенного платформенного модуля, временно приостанавливая BitLocker перед применением таких обновлений.
Внимание
Обновления встроенного ПО TPM и UEFI могут потребовать нескольких перезапусков во время их установки. Для приостановки BitLocker во время этого процесса необходимо использовать командлет PowerShell Suspend-BitLocker , а параметр "Число перезагрузки" должен иметь одно из следующих значений:
2 или больше. Это значение задает количество перезапусков устройства до возобновления шифрования устройств BitLocker. Например, установка значения 2 приведет к возобновлению BitLocker после перезапуска устройства дважды.
0. Это значение приостанавливает шифрование диска BitLocker на неопределенный срок. Для возобновления работы BitLocker необходимо использовать командлет PowerShell Resume-BitLocker или другой механизм для возобновления защиты BitLocker.
Чтобы приостановить BitLocker при установке обновлений встроенного ПО TPM или UEFI:
Откройте окно Windows PowerShell с повышенными привилегиями и выполните следующий командлет PowerShell:
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
В этом командлете PowerShell DriveLetter> — это буква, <назначенная диску.
Установите обновления драйверов устройств Surface и встроенного ПО.
После установки обновлений встроенного ПО перезапустите компьютер, откройте окно PowerShell с повышенными привилегиями и выполните следующий командлет PowerShell:
Resume-BitLocker -MountPoint "<DriveLetter>:"
Credential Guard/Device Guard в TPM 1.2: при каждом перезапуске BitLocker запрашивает пароль восстановления и возвращает ошибку 0xC0210000
Рассмотрим следующий сценарий:
Устройство использует TPM 1.2 и запускает Windows 10 версии 1809. Устройство также использует функции безопасности на основе Виртуализации, такие как Device Guard и Credential Guard. При каждом запуске устройства устройство вводит режим восстановления BitLocker и отображается сообщение об ошибке, аналогичное следующему сообщению об ошибке:
Восстановление
Необходимо восстановить компьютер или устройство. Не удалось получить доступ к требуемому файлу, так как ключ BitLocker не был загружен правильно.
Код ошибки 0xc0210000
Вам потребуется использовать средства восстановления. Если у вас нет установочного носителя (например, диска или USB-устройства), обратитесь к администратору компьютера или изготовителю устройств.
Причина credential Guard/Device Guard в TPM 1.2. При каждом перезапуске BitLocker запрашивает пароль восстановления и возвращает ошибку 0xC0210000
TPM 1.2 не поддерживает безопасный запуск. Дополнительные сведения см. в разделе System Guard Secure Launch и ЗАЩИТА ОТ СММ: требования, отвечающие требованиям, установленным компьютерам с поддержкой System Guard.
Дополнительные сведения об этой технологии см. в разделе System Guard в Защитнике Windows: как аппаратный корень доверия помогает защитить Windows
Разрешение для Credential Guard или Device Guard в TPM 1.2. При каждом перезапуске BitLocker запрашивает пароль восстановления и возвращает ошибку 0xC0210000
Чтобы устранить эту проблему, используйте одно из следующих двух решений:
- Удалите любое устройство, использующее TPM 1.2, из любой группы, на которую распространяется GPOs, которые применяют безопасный запуск.
- Измените объект групповой политики безопасности на основе виртуализации, чтобы задать для параметра "Конфигурация безопасного запуска" значение "Отключено".