Поделиться через

Более ранние версии Windows не начинаются после шага "Настройка Windows и Configuration Manager", если предварительная подготовка BitLocker используется с Windows 10 версии 1511

  • Статья

В этой статье объясняется, почему более ранние версии Windows не запускаются после запуска шага "Настройка Windows и Configuration Manager", если предварительная подготовка BitLocker используется с Windows 10 версии 1511.

Область применения: Windows 10 — все выпуски, Windows 7 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 4494799

Симптомы

Рассмотрим следующий сценарий.

  • Вы устанавливаете Windows 10 версии 1511 ADK на загрузочные образы.
  • Вы применяете KB3143760 к образам загрузки.
  • Вы хотите установить версию Windows, которая раньше, чем Windows 10 версии 1511, с помощью новых образов загрузки 1511. Для этого добавьте встроенный шаг "Предварительная подготовка BitLocker" в последовательность задач. Это позволяет использовать функцию шифрования только пространства для ускорения шифрования дисков BitLocker.

Все шаги в последовательности задач работают должным образом, пока не будет выполняться шаг "Настройка Windows и Configuration Manager". После выполнения этого шага устройство запускается на экране восстановления, отображающем сообщение "Нет дополнительных параметров восстановления BitLocker на компьютере" и напоминает следующий снимок экрана:

Снимок экрана: экран восстановления после этого шага.

Причина

Эта проблема возникает из-за того, что шифрование по умолчанию в Windows 10 версии 1511 было изменено с AES 128 на XTS-AES 128 для повышения безопасности. Новый метод шифрования не распознается версиями систем, выпущенными до Windows 10 версии 1511.

Чтобы проверить эту ситуацию, включите поддержку командной строки и выполните следующую команду на этапе предустановки Windows:

manage-bde.exe -status

Снимок экрана: выходные данные команды, в которой показан метод шифрования XTS-AES 128.

Решение

Чтобы устранить эту проблему, используйте шаг запуска командной строки. Для этого добавьте следующую команду перед шагом последовательности задач Pre-Provision BitLocker:

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod  /t REG_DWORD /d 3 /f

Снимок экрана: свойства добавленного шага последовательности задач: задание силы ключа BitLocker AES 128.

Если используется образ загрузки x64, выберите параметр отключения перенаправления 64-разрядной файловой системы.

Если вы предпочитаете другие методы шифрования, например AES 256, используйте инструкции в следующей таблице.

Значение Метод шифрования Значение и синтаксис командной строки
1 AES_128_WITH_DIFFUSER Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES) и улучшен с помощью слоя диффузера с размером ключа AES размером 128 бит.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f
2 AES_256_WITH_DIFFUSER Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES) и улучшен с помощью слоя диффузера с размером ключа AES размером 256 бит.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f
3 AES_128 Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES), который имеет размер ключа AES размером 128 бит.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
4 AES_256 Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES), который имеет размер ключа AES в 256 битах.

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f
6 XTS_AES128 * Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES), который имеет размер ключа XTS-AES размером 128 бит. Это значение по умолчанию для Windows PE 10.0.586.0 (версия 1511).

reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f
7 XTS_AES256 * Том был полностью или частично зашифрован алгоритмом расширенного шифрования (AES), который имеет размер ключа XTS-AES в 256 битах. reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f

* Поддерживается только для развертываний образов Windows 10, версии 1511 или более поздних версий.

Теперь развертывание системы будет работать. Метод шифрования снова установлен на AES 128, так как он был в более старых выпусках Windows PE.

Снимок экрана: выходные данные команды состояния bde после использования шага последовательности задач, в котором показано, что метод шифрования снова установлен на AES 128.

Ссылки

Новые возможности Windows 10 версии 1507 и 1511