Dela via

BitLocker-återställning: kända problem

  • Artikel

Den här artikeln beskriver vanliga problem som kan hindra BitLocker från att bete sig som förväntat när en enhet återställs, eller som kan orsaka att BitLocker oväntat startar återställningen. Artikeln innehåller också vägledning för att lösa dessa problem.

Kommentar

I den här artikeln refererar "återställningslösenord" till det 48-siffriga återställningslösenordet och "återställningsnyckeln" refererar till en 32-siffrig återställningsnyckel. Mer information finns i BitLocker-nyckelskydd.

Mer information om enhetskryptering finns i Maskinvarukrav för bitLocker-automatisk enhetskryptering.

Windows frågar efter ett icke-befintligt BitLocker-återställningslösenord

Windows frågar efter ett Återställningslösenord för BitLocker. Ett BitLocker-återställningslösenord har dock inte konfigurerats.

Lösning för Windows-frågor om ett icke-befintligt BitLocker-återställningslösenord

Vanliga frågor och svar om BitLocker och Active Directory-domän Services (AD DS) hanterar situationer som kan ge det här symptomet och innehåller information om proceduren för att lösa problemet:

Återställningslösenordet för en bärbar dator säkerhetskopierades inte och den bärbara datorn är låst

Föreställ dig följande scenario:

Hårddisken på en bärbar Windows 11- eller Windows 10-dator måste återställas. Disken krypterades med bitLocker-drivrutinskryptering. BitLocker-återställningslösenordet säkerhetskopierades dock inte och den vanliga användaren av den bärbara datorn är inte tillgänglig för att ange lösenordet.

Lösning för återställningslösenordet för en bärbar dator säkerhetskopierades inte

Du kan använda någon av följande metoder för att säkerhetskopiera eller synkronisera en onlineklients befintliga återställningsinformation manuellt:

  • Skapa ett WMI-skript (Windows Management Instrumentation) som säkerhetskopierar informationen. Mer information finns i BitLocker-enhetskrypteringsprovider.

  • I ett upphöjt kommandotolkfönster använder du kommandot manage-bde.exe för att säkerhetskopiera informationen.

    Om du till exempel vill säkerhetskopiera all återställningsinformation för C:-enheten till AD DS öppnar du ett förhöjt kommandotolkfönster och kör följande kommando:

    cmd manage-bde.exe -protectors -adbackup C:

Kommentar

BitLocker hanterar inte den här säkerhetskopieringsprocessen automatiskt.

Surfplattor har inte stöd för att testa manage-bde.exe -forcerecovery återställningsläge

Föreställ dig följande scenario:

BitLocker-återställning måste testas på en surfplatta eller skifferenhet genom att köra följande kommando:

cmd manage-bde.exe -forcerecovery

När du har angett återställningslösenordet kan enheten dock inte starta.

Orsaken till att surfplattor inte stöder att använda manage-bde.exe -forcerecovery för att testa återställningsläge

Viktigt!

Tablet-enheter stöder manage-bde.exe -forcerecovery inte kommandot.

Det här problemet beror på att Windows Boot Manager inte kan bearbeta pekindata under startfasen före start. Om Boot Manager upptäcker att enheten är en surfplatta omdirigeras startprocessen till Windows Recovery Environment (WinRE), som kan bearbeta pekindata.

Om WindowsRE identifierar TPM-skyddet på hårddisken, gör det en PCR-återslutning. Kommandot tar dock manage-bde.exe -forcerecovery bort TPM-skydden på hårddisken. Därför kan WinRE inte återsluta PCR:erna. Det här felet utlöser en oändlig BitLocker-återställningscykel och hindrar Windows från att starta.

Det här beteendet är avsiktligt för alla versioner av Windows.

Lösning för surfplattor stöder inte att använda manage-bde.exe -forcerecovery för att testa återställningsläge

Lös omstartsloopen genom att följa dessa steg:

  1. På skärmen BitLocker Recovery väljer du Hoppa över den här enheten.

  2. Välj Felsöka>kommandotolken Avancerade alternativ.>

  3. Kör följande kommandon i kommandotolkens fönster:

    manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
manage-bde.exe -protectors -disable C:

  4. Stäng Kommandotolkens fönster.

  5. Stäng av enheten.

  6. Starta enheten. Windows bör starta som vanligt.

När du har installerat UEFI- eller TPM-uppdateringar av inbyggd programvara på Surface frågar BitLocker efter återställningslösenordet

Föreställ dig följande scenario:

En Surface-enhet har BitLocker-diskkryptering aktiverat. Den inbyggda programvaran för Surfaces TPM uppdateras eller en uppdatering som ändrar signaturen för systemets inbyggda programvara installeras. Till exempel installeras surface TPM-uppdateringen (IFX).

Du får ett eller flera av följande symtom på Surface-enheten:

  • Vid start frågar Surface-enheten efter ett BitLocker-återställningslösenord. Rätt återställningslösenord anges, men Windows startar inte.

  • Starten fortsätter direkt till Surface-enhetens UEFI-inställningar (Unified Extensible Firmware Interface).

  • Surface-enheten verkar vara i en oändlig omstartsloop.

Orsak till när du har installerat UEFI- eller TPM-uppdateringar av inbyggd programvara på Surface uppmanar BitLocker till återställningslösenordet

Det här problemet uppstår om Surface-enhetens TPM har konfigurerats för att använda andra pcr-värden (Platform Configuration Register) än standardvärdena pcr 7 och PCR 11. Följande inställningar kan till exempel konfigurera TPM på det här sättet:

  • Säker start är inaktiverad.
  • PCR-värden har definierats uttryckligen, till exempel av en grupprincip.

Enheter som stöder anslutet vänteläge (även kallat InstantGO eller AlwaysOn, Always Connected-datorer), inklusive Surface-enheter, måste använda PCR 7 av TPM. I sin standardkonfiguration på sådana system binder BitLocker till PCR 7 och PCR 11 om PCR 7 och Säker start är korrekt konfigurerade.

Lösning för efter installation av uppdateringar av UEFI- eller TPM-inbyggd programvara på Surface, frågar BitLocker efter återställningslösenordet

Om du vill verifiera de PCR-värden som används på en enhet öppnar du ett upphöjt kommandotolkfönster och kör följande kommando:

manage-bde.exe -protectors -get <OSDriveLetter>:

I det här kommandot <representerar OSDriveLetter> enhetsbeteckningen för operativsystemenheten.

Följ dessa steg för att lösa problemet och reparera enheten:

Steg 1: Inaktivera TPM-skydden på startenheten

Om en TPM- eller UEFI-uppdatering har installerats och Surface-enheten inte kan starta, även om rätt BitLocker-återställningslösenord har angetts, kan möjligheten att starta återställas med bitLocker-återställningslösenordet och en Surface-återställningsavbildning för att ta bort TPM-skydden från startenheten.

Följ dessa steg om du vill använda BitLocker-återställningslösenordet och en Surface-återställningsavbildning för att ta bort TPM-skydden från startenheten:

  1. Hämta BitLocker-återställningslösenordet från Surface-användarens Microsoft.com-konto. Om BitLocker hanteras med en annan metod, till exempel Microsoft BitLocker Administration och övervakning (MBAM), Configuration Manager BitLocker Management eller Intune, kontaktar du administratören för att få hjälp.

  2. Använd en annan dator för att ladda ned Surface Recovery-avbildningen från Surface Recovery Image Download. Använd den nedladdade avbildningen för att skapa en USB-återställningsenhet.

  3. Infoga USB Surface-återställningsbildenheten i Surface-enheten och starta enheten.

  4. När du uppmanas till det väljer du följande objekt:

    1. Operativsystemets språk.

    2. Tangentbordslayouten.

  5. Välj Felsöka>kommandotolken Avancerade alternativ.>

  6. Kör följande kommandon i kommandotolkens fönster:

    manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
manage-bde.exe -protectors -disable <DriveLetter>:

    där:

    • <Lösenord> är BitLocker-återställningslösenordet som hämtades i steg 1
    • <DriveLetter> är enhetsbeteckningen som är tilldelad till operativsystemenheten

    Kommentar

    Mer information om hur du använder det här kommandot finns i hantera bde-upplåsning.

  7. Starta om datorn.

  8. När du uppmanas till det anger du det BitLocker-återställningslösenord som hämtades i steg 1.

Kommentar

När TPM-skydden har inaktiverats skyddar BitLocker-enhetskryptering inte längre enheten. Om du vill återaktivera BitLocker-diskkryptering väljer du Start, skriver Hantera BitLocker och trycker sedan på Retur. Följ stegen för att kryptera enheten.

Steg 2: Använd Surface BMR för att återställa data och återställa Surface-enheten

Om du vill återställa data från Surface-enheten om Windows inte startar följer du steg 1 till och med 5 i avsnittet Steg 1: Inaktivera TPM-skydden på startenheten för att komma till ett kommandotolkfönster. När kommandotolken har öppnats följer du dessa steg:

  1. Kör följande kommando vid kommandotolken:

    manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:

    I det här kommandot är Lösenord> det BitLocker-återställningslösenord som hämtades i steg 1 i avsnittet Steg 1: Inaktivera TPM-skydd på startenheten och <DriveLetter> är enhetsbeteckningen som har tilldelats operativsystemenheten.<

  2. När enheten har låsts upp använder du copy kommandot eller xcopy.exe för att kopiera användardata till en annan enhet.

    Kommentar

    Mer information om dessa kommandon finns i artikeln Windows-kommandon .

  3. Om du vill återställa enheten med hjälp av en Surface-återställningsbild följer du anvisningarna i artikeln Skapa och använda en USB-återställningsenhet för Surface.

Steg 3: Återställa standardvärdena för PCR

För att förhindra att det här problemet återkommer rekommenderar vi att du återställer standardkonfigurationen för Säker start och PCR-värdena.

Följ dessa steg för att aktivera säker start på en Surface-enhet:

  1. Pausa BitLocker genom att öppna ett upphöjt Windows PowerShell-fönster och köra följande PowerShell-cmdlet:

    Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

    I det här kommandot <är DriveLetter> den bokstav som är tilldelad till enheten.

  2. Starta om enheten och redigera sedan UEFI-inställningarna för att ange alternativet Säker start till Endast Microsoft.

  3. Starta om enheten och logga in på Windows.

  4. Öppna ett upphöjt PowerShell-fönster och kör följande PowerShell-cmdlet:

    Resume-BitLocker -MountPoint "<DriveLetter>:"

Så här återställer du PCR-inställningarna på TPM:

  1. Inaktivera alla grupprincip objekt som konfigurerar PCR-inställningarna eller ta bort enheten från grupper som tillämpar sådana principer.

    Mer information finns i BitLocker grupprincip inställningar.

  2. Pausa BitLocker genom att öppna ett upphöjt Windows PowerShell-fönster och köra följande PowerShell-cmdlet:

    Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

    I det här kommandot <är DriveLetter> den bokstav som är tilldelad till enheten.

  3. Kör följande cmdlet i PowerShell:

    Resume-BitLocker -MountPoint "<DriveLetter>:"

Steg 4: Pausa BitLocker under uppdateringar av TPM- eller UEFI-inbyggd programvara

Du kan undvika det här scenariot när du installerar uppdateringar av systemets inbyggda programvara eller den inbyggda TPM-programvaran genom att tillfälligt pausa BitLocker innan du tillämpar sådana uppdateringar.

Viktigt!

Uppdateringar av den inbyggda TPM- och UEFI-programvaran kan kräva flera omstarter medan de installeras. För att hålla BitLocker pausad under den här processen måste PowerShell-cmdleten Suspend-BitLocker användas och parametern Reboot Count måste anges till något av följande värden:

  • 2 eller senare: Det här värdet anger hur många gånger enheten startas om innan BitLocker-enhetskryptering återupptas. Om du till exempel anger värdet till 2 kommer BitLocker att återupptas efter att enheten har startats om två gånger.

  • 0: Det här värdet pausar BitLocker-diskkryptering på obestämd tid. För att återuppta BitLocker måste PowerShell-cmdleten Resume-BitLocker eller någon annan mekanism användas för att återuppta BitLocker-skyddet.

Så här pausar du BitLocker vid installation av uppdateringar av TPM- eller UEFI-inbyggd programvara:

  1. Öppna ett upphöjt Windows PowerShell-fönster och kör följande PowerShell-cmdlet:

    Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

    I den här PowerShell-cmdleten <är DriveLetter> den bokstav som är tilldelad till enheten.

  2. Installera surface-enhetsdrivrutinen och uppdateringar av inbyggd programvara.

  3. När du har installerat uppdateringarna av den inbyggda programvaran startar du om datorn, öppnar ett upphöjt PowerShell-fönster och kör sedan följande PowerShell-cmdlet:

    Resume-BitLocker -MountPoint "<DriveLetter>:"

Credential Guard/Device Guard på TPM 1.2: Vid varje omstart frågar BitLocker efter återställningslösenordet och returnerar fel 0xC0210000

Föreställ dig följande scenario:

En enhet använder TPM 1.2 och kör Windows 10 version 1809. Enheten använder också virtualiseringsbaserade säkerhetsfunktioner som Device Guard och Credential Guard. Varje gång enheten startas går enheten in i BitLocker Recovery-läge och ett felmeddelande som liknar följande felmeddelande visas:

Återställning

Datorn/enheten måste repareras. Det gick inte att komma åt en nödvändig fil eftersom BitLocker-nyckeln inte lästes in korrekt.

Felkod 0xc0210000

Du måste använda återställningsverktyg. Om du inte har några installationsmedia (t.ex. en skiva eller EN USB-enhet) kontaktar du datoradministratören eller dator-/enhetstillverkaren.

Orsak till Credential Guard/Device Guard på TPM 1.2: Vid varje omstart frågar BitLocker efter återställningslösenordet och returnerar fel 0xC0210000

TPM 1.2 stöder inte säker start. Mer information finns i System Guard Secure Launch och SMM Protection: Krav som uppfylls av System Guard-aktiverade datorer

Mer information om den här tekniken finns i Windows Defender System Guard: Hur en maskinvarubaserad rot av förtroende hjälper till att skydda Windows

Lösning för Credential Guard/Device Guard på TPM 1.2: Vid varje omstart frågar BitLocker efter återställningslösenordet och returnerar fel 0xC0210000

Lös problemet genom att använda någon av följande två lösningar:

  • Ta bort alla enheter som använder TPM 1.2 från alla grupper som omfattas av grupprincipobjekt som framtvingar säker start.
  • Redigera grupprincipobjektet Aktivera virtualiseringsbaserad säkerhet för att ange Säker startkonfiguration till Inaktiverad.